الملايين من رموز الأمان الثنائي لـ Google و WhatsApp و Facebook تتسرب عبر الإنترنت
كشف باحث أمني عن قاعدة بيانات غير آمنة تعرض رموز المصادقة الثنائية عبر الإنترنت.
ينصح خبراء الأمن بعدم استخدام رسائل SMS لرموز المصادقة الثنائية بسبب تعرضها للتنصت أو الاختراق. في الآونة الأخيرة ، اكتشف باحث أمني قاعدة بيانات غير آمنة على الإنترنت تحتوي على ملايين من هذه الرموز ، والتي يمكن لأي شخص الوصول إليها بسهولة.
قاعدة بيانات SMS الحساسة تُركت غير محمية عبر الإنترنت
تم ترك قاعدة البيانات الداخلية ، التي اكتشفها الباحث الأمني Anurag Sen ، غير محمية بدون كلمة مرور على الرغم من اتصالها بالإنترنت. سيكون أي شخص يعرف عنوان IP لقاعدة البيانات قادرًا على الوصول إليها باستخدام متصفح ويب قياسي بسيط.
على الرغم من أنه لم يتضح على الفور ملكية قاعدة البيانات المكشوفة ، إلا أنه بعد التواصل مع الصحفيين في TechCrunch ، تم العثور على الجهة المسؤولة وهي YX International ، وهي شركة آسيوية تقدم خدمات توجيه رسائل SMS النصية ، من بين خدمات أخرى. قامت YX International بتأمين قاعدة البيانات بعد أن اتصلت TechCrunch بالشركة.
مخزون من المعلومات الحساسة
مع تدفق يومي يصل إلى 5 ملايين رسالة SMS ، كانت قاعدة بيانات YX International كنزًا للمعلومات الحساسة. المعلومات بما في ذلك روابط إعادة تعيين كلمة المرور ورموز المصادقة الثنائية لشركات مثل Google و WhatsApp و Facebook و TikTok.
لقد تواصلت مع YX International و Google و Meta و TikTok للتعليق.
هل يجب أن يقلق مستخدمو Google و WhatsApp و TikTok؟
مع وجود سجلات يعود تاريخها إلى يوليو 2023 ، فإن عدم وجود كلمة مرور لحماية قاعدة البيانات هذه أمر صادم ، ولكن هل هو خطر أمني؟ من وجهة نظر رموز المصادقة الثنائية ، يجب أن أقول ليس كثيرًا. بعد كل شيء ، تنتهي صلاحية هذه الرموز بسرعة كبيرة ويجب على الجهات الفاعلة في التهديد مراقبة كل من الإضافات إلى قاعدة البيانات وإجراءات الهدف. في مجرى الأمور ، هذا غير محتمل للغاية.
هل هذا يعني أنه لا يجب استخدام SMS لرموز أمان المصادقة الثنائية؟
أفاد جيك مور ، المستشار العالمي للأمن السيبراني في ESET ، أن “كلمات المرور لمرة واحدة عبر الرسائل القصيرة هي خيار أكثر أمانًا بكثير من الاعتماد على كلمة مرور بمفردها ، ولكن عندما تكون التهديدات متعددة الطبقات الآن ، تحتاج الحسابات إلى أقوى حماية متعددة الطبقات نفسها لتبقى آمنة”. توفر مفاتيح المرور وتطبيقات المصادقة والمفاتيح الأمنية المادية حماية أكثر أمانًا.
ويتابع مور: “لذلك ، عندما يصبح إعداد الأمان الآن أسهل من أي وقت مضى ، فقد يرغب أي شخص يعتمد على كلمات المرور وحدها أو باستخدام رموز SMS 2FA في إعادة النظر في اختياره الأصلي”.
على الرغم من أنه لا داعي للقلق الشديد من تضمين رموز المصادقة الثنائية في قاعدة البيانات غير المهيأة وغير المحمية المعنية ، إلا أن هذا لا يعني أنه لا يوجد درس يجب تعلمه. وإذا كان هناك أي شيء ، فإنه يضيف فقط ثقلًا إلى الحجة ضد استخدام الرسائل القصيرة إذا كانت هناك خيارات أخرى متاحة ، حيث يوضح كيف يمكن اختراق رموز الرسائل النصية هذه.
ويختم مور قائلًا: “تستخدم الرسائل النصية تقنية قديمة ومن الممارسة الجيدة مواكبة أحدث حماية للحسابات المعروضة. ولكن عندما تتطابق الراحة والأمان مع بعضهما البعض بنسب متساوية تمامًا ، فإن اختيار خيار آخر غير الرسائل القصيرة يعد أمرًا لا يحتاج إلى تفكير “.
المصدر : https://www.forbes.com/sites/daveywinder/2024/03/04/millions-of-google-whatsapp-facebook-2fa-security-codes-leak-online/
Related Posts
هذا الموقع يستخدم خدمة أكيسميت للتقليل من البريد المزعجة. اعرف المزيد عن كيفية التعامل مع بيانات التعليقات الخاصة بك processed.
إرسال التعليق