fbpx

Une fuite massive d’une base de données d’un opérateur expose des millions de SMS

Par

le

Une faille de sécurité sur un serveur de l’opérateur américain Voxox a exposé une base de données contenant des dizaines de millions de messages de clients.

Juste au moment où vous pensiez que l’authentification à deux facteurs était suffisante pour sécuriser vos comptes en ligne, une découverte troublante montre comment ce système peut être compromis, à cause d’une erreur humaine. TechCrunch rapporte qu’une base de données de SMS contenant plus de 26 millions de codes 2FA, des liens de réinitialisation de mot de passe et des informations de suivi de colis ont été laissés accessibles et que leurs destinataires ont peut-être été compromis.

Le chercheur en sécurité Sébastien Kaul Kaul a découvert la base de données, appartenant à un opérateur mobile américain appelé Voxox, sur Shodan, un moteur de recherche de bases de données publiques. Il était également associé au sous-domaine de Voxox avec une interface facilement consultable. Vous pouvez l’utiliser pour trouver facilement des numéros de téléphone, des noms et des messages.

Voxox fournit des API basées sur SMS qui convertissent le code en messages pour authentifier les utilisateurs. TechCrunch a découvert que la base de données exposée contenait des messages pour authentifier les numéros de téléphone de Trivia HQ et Viber, des codes de vérification pour les comptes Huawei, des codes de réinitialisation de mot de passe pour les comptes Microsoft, des clés de compte Yahoo et des liens de suivi d’expédition pour des commandes Amazon.

Selon Dylan Katz, un autre chercheur en sécurité qui a examiné les résultats, les données ont peut-être déjà été capturées et utilisées par des tiers malveillants.

La société a retiré la base de données après que TechCrunch l’a contactée. Le cofondateur de Voxox, Kevin Hertz, a déclaré dans un courriel que la société examinait la question et évaluait l’impact de l’incident.

Les bases de données exposées constituent un réel problème pour la confidentialité des utilisateurs, en particulier pour les entreprises qui gèrent des informations sensibles. La semaine dernière, il a été révélé que la base de données d’American Express India, contenant des informations sur plus de 700 000 détenteurs de cartes, était lisible par n’importe qui pendant plus de cinq jours en octobre.

Articles recommandés