Voxox 短信数据库遭泄,暴露短信认证安全问题
一个安全失误导致一个庞大的数据库遭到泄露,该数据库中的数千万条短信中包含了密码重置链接、双因素认证代码以及快递通知等等。
出问题的服务器属于 Voxox(即之前的 Telcentris ),这是一家位于加州圣地亚哥的通信公司。服务器没有密码保护,任何知道该去哪儿窥视的人都能看到近乎实时的短信数据流。
就驻柏林的安全研究员塞巴斯蒂安·考尔(Sébastien Kaul)来说,他没用多长时间就找到了。
尽管考尔是在 Shodan(一个面向公开可用设备和数据库的搜索引擎)上找到这个无遮无拦的服务器的,但 Voxox 自家的一个二级域名同样指向了它。更糟糕的是,这个在亚马逊 Elasticsearch 上运行的数据库还配置了 Kibana 前端,使得其中的数据易于读取、浏览以及按照姓名、手机号码和短信内容进行检索。
泄露短信的示例,图中这条包含了用户的手机号码和微软账户重置验证码。(图片来源:TechCrunch)
当我们收到一家公司发来的短信时,不管那是亚马逊的快递通知还是登陆服务的双因素认证代码,大多数人并不会去想幕后所发生的事情。通常,像 HQ Trivia 和 Viber 这样的应用开发商,他们会采用 Telesign 和 Nexmo 这些公司提供的技术,要么用于验证用户的手机号码,要么是发送双因素认证代码。不过,在其中 充当网关 和负责把那些代码转换为文本信息通过蜂窝网络传送到用户手机的乃是 Voxox 这样的公司。
在 TechCrunch 发出问询后,Voxox 已将数据库脱机。在关闭时,该数据库上似乎拥有年初以来的逾 2600 万条短信。不过,我们可以从数据库的可视化前端查看到平台每分钟处理的短信数量,它表明实际的数字可能更高。
每条记录都经过精心标记,并拥有详细信息,包括收件人的手机号码、信息内容、发送信息的 Voxox 客户以及他们使用的短代码。
通过对数据进行粗略审查,我们发现:
- 我们发现约会应用 Badoo 用明文短信把一个密码发送给了一个位于洛杉矶的手机号码;
- Booking.com 的几家合作伙伴用短信发送六位数双因素认证代码,以用于登陆该公司的外联网络;
- 富达投资集团也向一个属于芝加哥卢普区的号码发送了六位数安全验证码;
- 很多短信中包含了拉丁美洲谷歌用户的双因素认证代码;
- First Tech Federal Credit Union 是一家总部位于加州山景城的联邦特许信贷联盟,他们同样在短信中以明文形式把一个临时银行密码发送给了一个属于内布拉斯加州的手机号码;
- 我们发现亚马逊发送的快递通知短信,其中附带了一个链接,点进去就能看到包裹物流信息,包括 UPS 运单号以及一路前往佛罗里达州目的地途经的地点;
- 消息应用 Kakao Talk 和 Viber 以及问答应用 HQ Trivia 使用 Voxox 的服务来验证用户的手机号码;
- 我们还发现了包含有微软账户密码重置验证码和华为账号验证码的短信;
- 雅虎同样使用该服务通过短信发送一些账户密钥;
- 一些中小型医院和医疗机构发送短信给患者进行预约提醒,在某些情况下还提供了账单查询。
“是的,这非常糟糕。”安全研究员迪伦·卡茨(Dylan Katz)在对一些调查结果进行审查后如是说。
且不论个人信息和手机号码遭到泄露,能够近乎实时地读取双因素认证代码可能让无数账户面临被劫持的风险。在某些情况下,网站只需要一个手机号码便能完成账户重置。黑客通过暴露的数据库获取文本信息,这样劫持一个账户可能只需要几秒钟。
“我真正担心的是这样一种可能性,即这已经遭到滥用。”卡茨说,“这与大多数泄漏事件不同,由于数据具有临时性,所以一旦数据库脱机,任何泄露出去的数据都不是很有用了。”
Voxox 的联合创始人兼首席技术官凯文·赫兹(Kevin Hertz)在一封电邮中表示,该公司“目前正在调查这件事,并遵循标准数据泄露政策进行操作”,并且该公司也在“评估影响”。
包括 Facebook、Twitter 和 Instagram 在内的很多公司已经推出了基于应用的双因素身份认证,以抛弃 基于短信的认证 ,后者长期以来一直被认为很容易进行拦截。
如果说要给短信认证易于拦截举个例子,那么这次泄露事件倒是非常应景了。
翻译:王灿均( @何无鱼 )
A leaky database of SMS text messages exposed password resets and two-factor codes
UNDER Getty Image LICENSE