Une entreprise technologique qui achemine des millions de messages SMS à travers le monde a sécurisé une base de données exposée qui contenait des codes de sécurité à usage unique qui auraient pu accorder aux utilisateurs l’accès à leurs comptes Facebook, Google et TikTok.
La société asiatique de technologie et d’Internet YX International fabrique des équipements de réseau cellulaire et fournit des services de routage de messages texte SMS. Le routage SMS permet d’acheminer les messages texte urgents vers leur destination appropriée sur divers réseaux cellulaires et fournisseurs régionaux, par exemple un utilisateur recevant un code de sécurité SMS ou un lien pour se connecter à des services en ligne.
YX International prétend envoyer 5 millions de SMS par jour.
Mais l’entreprise technologique a laissé l’une de ses bases de données internes exposée à Internet sans mot de passe, permettant à quiconque d’accéder aux données sensibles qu’elle contient en utilisant uniquement un navigateur Web, en connaissant simplement l’adresse IP publique de la base de données.
Anurag Sen, un chercheur en sécurité de bonne foi et expert dans la découverte d’ensembles de données sensibles mais exposés par inadvertance fuyant sur Internet, a trouvé la base de données. Sen a déclaré qu’il n’était pas évident à qui appartenait la base de données, ni à qui signaler la fuite. Sen a donc partagé les détails de la base de données exposée avec TechCrunch pour aider à identifier son propriétaire et signaler la faille de sécurité.
Sen a déclaré à TechCrunch que la base de données exposée comprenait le contenu des messages texte envoyés aux utilisateurs, y compris des codes d’accès à usage unique et des liens de réinitialisation de mot de passe pour certaines des plus grandes entreprises technologiques et en ligne au monde, notamment Facebook et WhatsApp, Google, TikTok et d’autres.
La base de données contenait des journaux mensuels remontant à juillet 2023 et sa taille augmentait de minute en minute.
L’authentification à deux facteurs (2FA) offre une meilleure protection contre les piratages de comptes en ligne qui reposent sur le vol de mots de passe en envoyant un code supplémentaire à un appareil de confiance, tel que le téléphone de quelqu’un. Les codes à deux facteurs et les réinitialisations de mot de passe, comme ceux trouvés dans la base de données exposée, expirent généralement après quelques minutes ou une fois utilisés.
Mais les codes envoyés par SMS ne sont pas aussi sécurisés que les formes plus puissantes de 2FA – un générateur de code basé sur une application, par exemple – car les messages SMS sont sujets à l’interception ou à l’exposition, ou dans ce cas, à la fuite d’une base de données vers le public. la toile.
Dans la base de données exposée, TechCrunch a trouvé des ensembles d’adresses e-mail internes et les mots de passe correspondants associés à YX International, et a alerté l’entreprise de la base de données déversée. La base de données a été mise hors ligne peu de temps après. Un représentant de YX International, qui n’a pas donné son nom, a répondu peu après avoir déclaré que la société avait « scellé cette vulnérabilité ».
Interrogé par TechCrunch, le représentant de YX International a déclaré que le serveur ne stockait pas les journaux d’accès, ce qui aurait permis de déterminer si quelqu’un d’autre que Sen avait découvert la base de données exposée et son contenu.
YX International n’a pas voulu dire pendant combien de temps la base de données a été exposée.
Contacté par e-mail, un porte-parole de Meta n’a fait aucun commentaire. Les porte-parole de Google et de TikTok n’ont pas répondu aux demandes de commentaires.