Investigação ESET: novo vazamento expõe códigos 2FA de contas do Google, Whatsapp, TikTok e Facebook
Oie, Thiago! Tudo bem?
Aqui é a Byanka, da assessoria da ESET, empresa de segurança da informação.
Investigação ESET: novo vazamento expõe códigos 2FA de contas do Google, Whatsapp, TikTok e Facebook Falha no banco de dados da empresa de roteamento de SMS YX International expôs os códigos de segurança dos serviços
Diante disso, qualquer pessoa que soubesse o endereço IP poderia acessar o banco de dados com apenas um navegador da Web. Na ocasião, foi o site TechCrunch que informou que a YX International - uma empresa asiática que fornece roteamento de 5 milhões de mensagens de texto SMS por dia - havia sido vítima do vazamento de links de redefinição de senha e códigos 2FA para as redes sociais, além de contas de e-mail e senhas internas da empresa.
Em termos simples, o roteamento de SMS é o que ajuda a enviar mensagens de texto para o destino correto usando redes de celular e provedores regionais. É assim que um usuário recebe um código de segurança por SMS ou um link para fazer login em uma de suas contas ou serviços na Internet.
(comunicado Anurag Sen)
"Muitas empresas estão transferindo seus servidores de produção para a nuvem, mas, infelizmente, eles não têm autenticação e criptografia básicas", disse Sen à Forbes. "O banco de dados exposto mostra que o método de armazenamento e processamento da 2FA deve ser muito mais robusto e seguro", acrescentou.
Esse vazamento de dados representa um risco para os usuários?
Apesar de um código 2FA ter uma vida útil curta, com expiração rápida, um cibercriminoso pode tirar vantagem monitorando o banco de dados e as ações de uma vítima ou alvo.
Jake Moore, especialista em cibersegurança da ESET, destacou: "As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.
Embora os usuários não devam ficar muito preocupados com a existência de códigos 2FA no banco de dados vazado, isso deve ser um convite para explorar outras medidas de segurança disponíveis. Como explica Moore: "As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas".
Por fim, a YX International assegurou que a vulnerabilidade foi corrigida.
A ESET compartilha alguns aspectos-chave que devem ser considerados após receber uma notificação sobre uma violação de dados:
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse o link.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
Copyright © 1992 - 2023. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.
Contatos para Imprensa:
Leonardo Nascimento - leonardonascimento@aboutcom܂com܂br Manuel Quilarque - manuelquilarque@aboutcom܂com܂br
|
