Rò rỉ cơ sở dữ liệu làm lộ mã 2FA của các gã khổng lồ công nghệ toàn cầu như Google
Chúng tôi là công ty Công nghệ Terus, Công ty thiết kế website uy tín tại Hồ Chí Minh và cung cấp các dịch vụ liên quan đến digital. Terus đem tới các dịch vụ: Thiết kế website, dịch vụ quảng cáo Facebook Ads, dịch vụ chạy quảng cáo Google Ads, dịch vụ SEO tổng thể,...
YX International , công ty chuyên sản xuất thiết bị mạng di động và cung cấp dịch vụ định tuyến tin nhắn văn bản SMS , đã bị phát hiện để lộ một cơ sở dữ liệu nội bộ trên internet mà không có mật khẩu. Cơ sở dữ liệu này chứa thông tin nhạy cảm, bao gồm cả mã bảo mật một lần có khả năng cấp quyền truy cập vào tài khoản Facebook, Google và TikTok của người dùng.
Cơ sở dữ liệu được tiết lộ và hợp tác với TechCrunch YX International được cho là gửi đi 5 triệu tin nhắn SMS mỗi ngày. Tuy nhiên, sự cố này gây ra rủi ro bảo mật đáng kể vì nó cho phép truy cập không giới hạn vào nội dung tin nhắn văn bản được gửi cho người dùng, bao gồm cả mật mã một lần và liên kết đặt lại mật khẩu cho các công ty công nghệ và trực tuyến lớn như Facebook, WhatsApp, Google và TikTok.
Anurag Sen, một nhà nghiên cứu bảo mật có uy tín, đã phát hiện ra cơ sở dữ liệu bị lộ và chia sẻ thông tin chi tiết với TechCrunch để giúp xác định chủ sở hữu và báo cáo lỗ hổng bảo mật. Cơ sở dữ liệu, có nhật ký hàng tháng có từ tháng 7 năm 2023, liên tục tăng kích thước, có khả năng tiết lộ một lượng lớn thông tin nhạy cảm.
Mối lo ngại về bảo mật 2FA dựa trên SMS Sự cố này làm dấy lên mối lo ngại về tính bảo mật của xác thực hai yếu tố dựa trên SMS ( 2FA ), được thiết kế để cung cấp thêm một lớp bảo vệ chống lại việc chiếm đoạt tài khoản. Mặc dù mã 2FA được gửi qua SMS thường được sử dụng, nhưng chúng không an toàn bằng các hình thức 2FA khác, chẳng hạn như trình tạo mã dựa trên ứng dụng, vì chúng dễ bị chặn hoặc bị lộ.
Khi TechCrunch phát hiện ra cơ sở dữ liệu bị lộ, các bộ địa chỉ email nội bộ và mật khẩu tương ứng liên quan đến YX International cũng được tìm thấy. Sau khi cảnh báo công ty, cơ sở dữ liệu đã nhanh chóng ngoại tuyến và một đại diện của YX International tuyên bố rằng lỗ hổng đã được giải quyết.
Thời gian tiếp xúc và truy cập trái phép Vẫn còn những câu hỏi liên quan đến thời gian cơ sở dữ liệu bị lộ và liệu có xảy ra truy cập trái phép hay không. Phản hồi của công ty, đặc biệt là về việc không có nhật ký truy cập trên máy chủ, để lại sự không chắc chắn về mức độ vi phạm dữ liệu tiềm ẩn.
Sự cố này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ, đặc biệt là đối với các công ty xử lý dữ liệu và thông tin liên lạc nhạy cảm của người dùng. Trong thời đại các mối đe dọa an ninh mạng và vi phạm dữ liệu ngày càng gia tăng, các tổ chức phải ưu tiên bảo vệ thông tin người dùng và nhanh chóng giải quyết mọi lỗ hổng có thể gây tổn hại đến tính toàn vẹn và quyền riêng tư của dữ liệu.
Khi được yêu cầu bình luận, đại diện của Meta, Google và TikTok đã không trả lời yêu cầu đưa ra ý kiến về vấn đề này, nhấn mạnh nhu cầu minh bạch và trách nhiệm giải trình cao hơn từ các công ty công nghệ trong việc giải quyết các sự cố bảo mật dữ liệu.
Các dịch vụ tại Terus Technology:
0コメント