Millones de códigos de seguridad 2FA de Google, WhatsApp y Facebook se filtran en línea

Los expertos en seguridad recomiendan no utilizar mensajes SMS para códigos de autenticación de dos factores debido a su vulnerabilidad a la interceptación o el compromiso. Recientemente, un investigador de seguridad descubrió una base de datos insegura en Internet que contiene millones de dichos códigos, fácilmente accesibles para cualquiera.

Actualizaciones del 06/03 a continuación. Este artículo se publicó originalmente el 4 de marzo.

La base de datos de SMS confidencial no estaba protegida en línea

La base de datos interna, descubierta por un investigador de seguridad Anurag Sen, no estaba protegido, sin contraseña, aunque estaba conectado a Internet. Cualquiera que conociera la dirección IP de la base de datos podría acceder a ella utilizando nada más sofisticado que un navegador web estándar.

Aunque la propiedad de la base de datos expuesta no quedó clara de inmediato, después de contactar a los periodistas en TechCrunch Se descubrió que el culpable era YX International, una empresa asiática que ofrece, entre otros servicios, enrutamiento de mensajes de texto SMS. YX International aseguró la base de datos después de que TechCrunch se comunicara con la empresa.

MÁS DE FORBESAdvertencia tras la filtración de 26 mil millones de registros: Dropbox, LinkedIn y Twitter nombradosPor David Winder

Con un flujo diario de 5 millones de mensajes SMS, la base de datos de YX International era un tesoro de información confidencial. Información que incluye enlaces para restablecer contraseña y códigos 2FA para empresas como Google, WhatsApp, Facebook y TikTok.

Me comuniqué con YX International, Google, Meta y TikTok para hacer comentarios.

Hablé con el investigador que encontró la base de datos, Anurag Sen, quien me dijo que «encontraron la base de datos durante una verificación de rutina que estaba haciendo». Sen dice que han estado haciendo esto para verificar bases de datos basadas en la nube durante cinco años. «Muchas empresas están migrando sus servidores de producción a la nube, pero no cuentan con autenticación y cifrado básicos», dice Sen. La base de datos expuesta muestra, dice Sen, que «el método de almacenamiento y procesamiento de 2FA debería ser más sólido y seguro».

¿Tienen motivos para preocuparse los usuarios de Google, WhatsApp y TikTok?

Con registros que se remontan a julio de 2023, la falta de una contraseña para proteger esta base de datos es impactante, pero ¿es un riesgo para la seguridad? Desde el punto de vista de los códigos 2FA, no tendría mucho que decir. Después de todo, estos códigos caducan muy rápidamente y un actor malintencionado tendría que monitorear tanto las adiciones a la base de datos como las acciones del objetivo. En el gran esquema de las cosas, esto es realmente muy improbable.

¿Significa esto que no deberías usar SMS para códigos de seguridad 2FA?

Jake Moore, asesor de ciberseguridad global de ESET, me dijo que «las contraseñas de un solo uso por SMS son una opción mucho más segura que depender únicamente de una contraseña, pero cuando las amenazas ahora son incluso de múltiples capas, las cuentas en sí necesitan la solución multicapa más sólida». Protección en capas para mantenerse seguro. .” Las claves de acceso, las aplicaciones de autenticación y las claves de seguridad físicas brindan una protección aún más segura. «Entonces, si bien configurar la seguridad ahora es más fácil que nunca», continúa Moore, «cualquiera que dependa únicamente de contraseñas o utilice códigos SMS 2FA podría querer reconsiderar su elección inicial».

Si bien los usuarios no deben preocuparse demasiado de que se hayan incluido códigos 2FA en la base de datos mal configurada y desprotegida en cuestión, eso no significa que no sea una lección que aprender. En todo caso, sólo añade peso al argumento en contra del uso de SMS si hay otras opciones disponibles, porque ilustra cómo estos códigos de mensajes de texto pueden verse comprometidos. «Los mensajes de texto utilizan tecnología obsoleta y es una buena práctica mantenerse actualizado con las últimas protecciones de cuenta que se ofrecen», concluye Moore, «pero cuando la comodidad y la seguridad se combinan en igual medida, es realmente una obviedad optar por otra opción». aparte de SMS.

MÁS DE FORBESGoogle anuncia que eliminará determinadas cuentas de Gmail y bloqueará mensajesPor David Winder

Actualización 06/03: Las claves de acceso a menudo se citan como un reemplazo más seguro 2FA, aunque en realidad deberían considerarse con mayor precisión como un método para combinar 2FA con algo más seguro que una contraseña. Si bien es poco probable que los códigos 2FA filtrados durante la exposición de la base de datos de YX International fueran explotados por un atacante por los motivos ya discutidos, el hecho de que se agregaron a la base de datos en el plazo para que fueran válidos sigue siendo una preocupación. Entonces, ¿existen problemas de seguridad con respecto a las contraseñas? Le planteé esta pregunta a Trevor Hilligoss, vicepresidente de SpyCloud Labs, quien dice que «las contraseñas son mucho menos vulnerables que las contraseñas a amenazas tradicionales como prácticas deficientes de higiene», pero «no deben considerarse la solución de seguridad definitiva». Los piratas informáticos pueden utilizar métodos como el secuestro de sesión para evitar los procesos de autenticación, incluidas contraseñas, 2FA y claves de acceso.

«El principal culpable de este método de evasión es el malware», afirma Hilligoss. “El malware Infostealer está diseñado para filtrar datos, incluidos archivos guardados en el disco duro de su computadora, así como datos basados ​​en el navegador, incluidas cookies de sesión, que los sitios web asignan después de su conexión y almacenan en su navegador. Estas cookies facilitan la navegación y la visita a un sitio sin pasar por el proceso de autenticación cada vez y son una parte esencial de una buena experiencia de usuario cuando navega por un sitio que requiere iniciar sesión. Sin embargo, estas cookies también se venden comúnmente en mercados criminales y luego pueden usarse junto con «navegadores anónimos» para engañar a los sitios haciéndoles creer que la sesión ya ha sido autenticada correctamente. «Los delincuentes que acceden a las cuentas mediante el secuestro de sesión pueden hacerse pasar por usuarios legítimos del sitio», advierte Hilligoss, «dándoles acceso completo a toda la información y permisos que tenía el usuario original».

MÁS DE FORBESOlvídese de las contraseñas, esta nueva tecnología es casi a prueba de piratas informáticos, dice 1PasswordPor David Winder

Luego está la autenticación multifactor que algunas contraseñas también requieren para mayor seguridad, aunque en realidad suele ser algún tipo de contraseña que actúa como capa de autenticación. Esto significa, dice Hilligoss, que «la mayoría de los métodos de autenticación sin contraseña todavía requieren una contraseña de una forma u otra».

A medida que las opciones de seguridad evolucionan, las tácticas criminales continúan evolucionando junto con ellas, y es importante que los equipos de seguridad sean conscientes de esto y se preparen con un enfoque en capas para combatir todos los riesgos. Hilligoss le recomienda tomar medidas para limitar el riesgo asociado con las cookies de sesión, incluso si están comprometidas. «Revocar permisos para dispositivos o aplicaciones que no utilizas, limitar la duración de la actividad de una sesión y no marcar las casillas Recordarme en sitios web nuevos puede reducir el riesgo de exposición a largo plazo», dice Hilligoss. “Además, cuando sea posible, utilice opciones seguras de MFA, como tokens basados ​​en aplicaciones o hardware, en lugar de métodos menos seguros, como el correo electrónico o la MFA basada en SMS. »

Sígueme en Gorjeo O LinkedIn. Controlar Mi sitio web o uno de mis otros trabajos aquí.