Tom's Hardware Italia
Sicurezza

L’autenticazione a due fattori tramite SMS non è sicura, 26 milioni di codici esposti sul Web

In rete è stato scoperto un incredibile database di messaggi SMS e codici di sicurezza utilizzati per le procedure di autenticazione a due fattori, completamente privo di difese ed accessibile da tutti, senza nemmeno la password.

Decine di milioni di messaggi di testo e codici di sicurezza sono stati esposti in un database online che non aveva nemmeno una password.‎ ‎A lasciare indifeso il database utilizzato dalle aziende per inviare informazioni di reimpostazione della password, codici di sicurezza e notifiche di spedizione sarebbe stata un’azienda di comunicazione, Voxox. I numeri sono impressionanti, parliamo di 26 milioni di messaggi di testo solo per l’anno in corso, inviati ai propri clienti da colossi come Google e Amazon e visibili in uno streaming quasi in tempo reale.‎

Che il sistema di autenticazione a due fattori tramite SMS non fosse il sistema più sicuro del mondo lo si sapeva già da tempo, soprattutto a causa della mancanza di un sistema di cifratura, che rende gli SMS facili da intercettare e leggere, ma il server esposto trovato da un ricercatore di sicurezza berlinese, Sébastien Kaul, ha dell’incredibile.

‎Un esempio di un messaggio di testo contenente un numero di telefono e il codice di reset di un account Microsoft.

Kaul tra l’altro l’ha trovato semplicemente utilizzando un motore di ricerca per dispositivi come webcam, router e server connessi in rete, chiamato Shodan. Il database, in esecuzione su Amazon Elasticsearch, era inoltre a uno dei sottodomini di Voxox e configurato con un front-end Kibana che ne rendeva i dati facilmente accessibili e addirittura navigabili da browser, con possibilità di effettuare le ricerche per nome, numero di cellulare e contenuto dei messaggi di testo stessi‎.

Ovviamente come ben sappiamo i codici per l’autenticazione a due fattori restano validi solo per un brevissimo lasso di tempo, ma ciò non toglie che la facilità con cui il database stesso è accessibile esponeva decine di milioni di utenti a potenziali pericoli. Il database è stato ormai messo offline dalla stessa Voxox su segnalazione, ma quanto accaduto conferma ancora una volta la fragilità dei sistemi di autenticazione basati su SMS, tanto che ultimamente diverse banche, ma anche colossi come Facebook, Twitter e Instagram, usano sistemi basati su app.