احتمال دسترسی هکرها به اکانت‌های آنلاین در حمله‌ی اخیر به شرکت Vovox

ممکن است بیش از ۲۶ میلیون پیام متنی به دلیل نقصی در یک پایگاه داده که توسط شرکت Vovox اداره می‌شود، مورد حمله قرار گرفته باشد. سباستین کاول، محقق امنیت سایبری کشف کرد که پایگاه داده‌ها حتی با رمز محافظت نشده‌اند و اطلاعات موجود در این پیام‌ها حاوی کلمه عبور، کدهای احراز هویت دو عاملی، کدهای امنیتی حساب، اطلاعات ردیابی برای بسته‌ها، کد‌های تنظیم مجدد حساب و حتی قرار ملاقات پزشکی به سادگی در دسترس هستند. به شکل قابل توجه این پیام‌ها شامل ارتباطات با بانک‌ها، موسسات پزشکی و بیمارستان‌ها، یاهو، گوگل، مایکروسافت و هوآوی است.

هنگامی‌ که توسعه دهنده یک کد تأیید دو عامل را ارسال می‌کند یا زمانی که کاربر درخواست پیوند ورودی را از طریق پیام‌های متنی می‌دهد، شرکت‌هایی مانند Vovox هستند که به عنوان دروازه عمل می‌کنند و این کد‌ها را به پیام‌های متنی تبدیل می‌کنند تا برای ارسال به شبکه‌های سلولار و به تلفن کاربر منتقل شوند. TechCrunch  به نقش Vovox در حفظ یک پایگاه داده ناامن از پیام‌های SMS اشاره کرد. SMS  نام دیگری برای پیام‌های متنی ارسال شده بر روی یک شبکه اپراتور است.

Vovox از آن زمان به بعد پایگاه داده را کنار گذاشت و در این زمان معلوم نیست که آیا اطلاعاتی که در پایگاه داده موجود بوده، توسط یک فرد مخرب دیده شده یا خیر. علاوه بر داشتن اطلاعات در مورد شماره تلفن همراه گیرنده، پایگاه داده به طور بالقوه به هر هکر به صورت بلادرنگ دسترسی به لینک‌های بازنشانی رمز عبور و کدهای احراز هویت دو عاملی را  ارائه داده است. این نقص حساب‌های بسیاری را در معرض خطر قرار می‌دهد. کووین هرتس مدیر ارشد فناوری و همکار شرکت Vovox  در ایمیلی به TechCrunch گفت که این شرکت نقص را بررسی می‌کند و همچنین تاثیر  این نقص را ارزیابی خواهد کرد.

به گفته کاول، پایگاه داده شامل پرونده‌هایی با اطلاعات دقیق در مورد پیام است او به TechCrunch گفت:

هر رکورد با برچسب و دقیق بود، از جمله شماره تلفن همراه گیرنده، پیام، نام مشتری Voxox که پیام و کد کوتاهی آنها استفاده نموده، مشخص بوده است.

اگر چه هنگام استفاده از اعتبار ورودی، تأیید پیامی‌ حفاظت بیشتری نسبت به نام کاربری و گذرواژه ارائه می‌دهد، اخیرا کارشناسان امنیتی هشدارهای مربوط به آسیب‌پذیری سیستم‌های SMS داده‌اند. در ابتدا، محققان هشدار دادند که پیام‌های SMS را می‌توان از بین برد و این نقص اخیر نمونه‌ی بارز آن است. در نتیجه، کارشناسان می‌گویند که با استفاده از برنامه‌های تأیید هویت یا کلید‌های امنیتی USB مبتنی بر سخت‌افزار، مانند کلید‌های تایتان گوگل، گزینه‌های امن‌تر در مورد احراز هویت چند عامل وجود دارد.