L’autenticazione a due fattori tramite SMS non è sicura, 26 milioni di codici esposti sul Web
Decine di milioni di messaggi di testo e codici di sicurezza sono stati esposti in un database online che non aveva nemmeno una password. A lasciare indifeso il database utilizzato dalle aziende per inviare informazioni di reimpostazione della password, codici di sicurezza e notifiche di spedizione sarebbe stata un’azienda di comunicazione, Voxox. I numeri sono impressionanti, parliamo di 26 milioni di messaggi di testo solo per l’anno in corso, inviati ai propri clienti da colossi come Google e Amazon e visibili in uno streaming quasi in tempo reale.
Che il sistema di autenticazione a due fattori tramite SMS non fosse il sistema più sicuro del mondo lo si sapeva già da tempo, soprattutto a causa della mancanza di un sistema di cifratura, che rende gli SMS facili da intercettare e leggere, ma il server esposto trovato da un ricercatore di sicurezza berlinese, Sébastien Kaul, ha dell’incredibile.
Kaul tra l’altro l’ha trovato semplicemente utilizzando un motore di ricerca per dispositivi come webcam, router e server connessi in rete, chiamato Shodan. Il database, in esecuzione su Amazon Elasticsearch, era inoltre a uno dei sottodomini di Voxox e configurato con un front-end Kibana che ne rendeva i dati facilmente accessibili e addirittura navigabili da browser, con possibilità di effettuare le ricerche per nome, numero di cellulare e contenuto dei messaggi di testo stessi.
Ovviamente come ben sappiamo i codici per l’autenticazione a due fattori restano validi solo per un brevissimo lasso di tempo, ma ciò non toglie che la facilità con cui il database stesso è accessibile esponeva decine di milioni di utenti a potenziali pericoli. Il database è stato ormai messo offline dalla stessa Voxox su segnalazione, ma quanto accaduto conferma ancora una volta la fragilità dei sistemi di autenticazione basati su SMS, tanto che ultimamente diverse banche, ma anche colossi come Facebook, Twitter e Instagram, usano sistemi basati su app.
