一家在全球范围内发送数百万条短信的技术公司保护了一个被曝光的数据库,该数据库泄露了一次性安全代码,而这些代码可能允许用户访问他们的 Facebook、Google 和 TikTok 账户。亚洲技术和互联网公司 YX International 生产蜂窝网络设备,并提供 SMS 短信路由服务。
YX International 声称每天发送500 万条短信。但是,这家技术公司将其一个内部数据库暴露在互联网上,没有设置密码,任何人只需知道数据库的公共 IP 地址,就可以使用网络浏览器访问其中的敏感数据。
被曝光的数据库包括发送给用户的短信内容,其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。
该数据库的月度日志可追溯到 2023 年 7 月,并且每分钟都在增长
双因素身份验证(2FA)通过向受信任的设备(如某人的手机)发送附加代码,提供更强的保护,防止依赖密码窃取的在线账户劫持。但是,通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全,因为短信很容易被拦截或曝光,在这种情况下,密码就会从数据库泄露到开放网络上。