image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione Roborock Q7 M5, robot aspirapolvere per chi vuole spendere p...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

L'autenticazione a due fattori tramite SMS non è sicura, 26 milioni di codici esposti sul Web

In rete è stato scoperto un incredibile database di messaggi SMS e codici di sicurezza utilizzati per le procedure di autenticazione a due fattori, completamente privo di difese ed accessibile da tutti, senza nemmeno la password.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Alessandro Crea

a cura di Alessandro Crea

Pubblicato il 19/11/2018 alle 12:39

Decine di milioni di messaggi di testo e codici di sicurezza sono stati esposti in un database online che non aveva nemmeno una password.‎ ‎A lasciare indifeso il database utilizzato dalle aziende per inviare informazioni di reimpostazione della password, codici di sicurezza e notifiche di spedizione sarebbe stata un'azienda di comunicazione, Voxox. I numeri sono impressionanti, parliamo di 26 milioni di messaggi di testo solo per l'anno in corso, inviati ai propri clienti da colossi come Google e Amazon e visibili in uno streaming quasi in tempo reale.‎

Che il sistema di autenticazione a due fattori tramite SMS non fosse il sistema più sicuro del mondo lo si sapeva già da tempo, soprattutto a causa della mancanza di un sistema di cifratura, che rende gli SMS facili da intercettare e leggere, ma il server esposto trovato da un ricercatore di sicurezza berlinese, Sébastien Kaul, ha dell'incredibile.

sms-database-voxox-7079.jpg

Kaul tra l'altro l'ha trovato semplicemente utilizzando un motore di ricerca per dispositivi come webcam, router e server connessi in rete, chiamato Shodan. Il database, in esecuzione su Amazon Elasticsearch, era inoltre a uno dei sottodomini di Voxox e configurato con un front-end Kibana che ne rendeva i dati facilmente accessibili e addirittura navigabili da browser, con possibilità di effettuare le ricerche per nome, numero di cellulare e contenuto dei messaggi di testo stessi‎.

Ovviamente come ben sappiamo i codici per l'autenticazione a due fattori restano validi solo per un brevissimo lasso di tempo, ma ciò non toglie che la facilità con cui il database stesso è accessibile esponeva decine di milioni di utenti a potenziali pericoli. Il database è stato ormai messo offline dalla stessa Voxox su segnalazione, ma quanto accaduto conferma ancora una volta la fragilità dei sistemi di autenticazione basati su SMS, tanto che ultimamente diverse banche, ma anche colossi come Facebook, Twitter e Instagram, usano sistemi basati su app.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram
Live

I più letti di oggi


  • #1
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #2
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #3
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #4
    Questa è la tech che salverà le schede video da 8GB
  • #5
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #6
    Helldivers 2 trasforma le recensioni negative in DLC
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Un robot con aspirazione potente e navigazione LiDAR che offre un buon compromesso tra funzionalità avanzate e prezzo accessibile.
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Leggi questo articolo
Articolo 3 di 5
Migliori carte da usare in viaggio (luglio 2025)
Tutte le carte da viaggio tra cui scegliere per stare tranquillo e spendere e amministrare le tue spese serenamente, mentre sei fuori!
Immagine di Migliori carte da usare in viaggio (luglio 2025)
Leggi questo articolo
Articolo 4 di 5
Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Aggiungi l’eleganza senza tempo dell’albicocco giapponese o delle rose al tuo spazio a meno di 50€, ma affrettati: promozione limitata!
Immagine di Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Leggi questo articolo
Articolo 5 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.