El hecho de que el servidor de una empresa de Vovox no estuviera cifrado provocó que más de 26 millones de mensajes SMS quedaran expuestos en línea, incluidos mensajes críticos como códigos de autenticación de dos factores y códigos de restablecimiento de contraseña.
La mayoría de nosotros usamos el sistema de autenticación de dos factores para proteger nuestras cuentas en línea. Para utilizarlo para este sistema, utilizamos los códigos que llegan a nuestro dispositivo a través de SMS. Además, cuando olvidamos o queremos cambiar nuestra contraseña, también se envían códigos de restablecimiento de contraseña a nuestro teléfono en forma de SMS. ¿Qué pasa si decimos que estos códigos están a la vista del público?
Un servidor propiedad de la empresa Voxox, que está abierto al público en San Diego, California, EE. UU., permite leer el contenido de los mensajes de texto en tiempo real porque no está protegido con contraseña. Además, estos datos incluyen información crítica como códigos de verificación de dos factores, códigos de restablecimiento de contraseña o notificaciones de entrega de carga.
Cuando el investigador de seguridad alemán Sébastien Kaul ingresó al servidor, se dio cuenta de que mucho más que eso estaba disponible públicamente. Los nombres, números de teléfono y contenido de los mensajes de texto de las personas que envían datos a los servidores de Vovox se mostraban claramente en el servidor. En otras palabras, no había ninguna razón por la cual sus cuentas en línea no deberían ser pirateadas.
Para cambiar la contraseña de cualquier cuenta en línea, es suficiente ingresar el número de teléfono y el código de verificación de dos factores o el código de restablecimiento de contraseña enviado a este número de teléfono. Por lo tanto, un hacker cibernético que ingresara al servidor público de Vovox podría apoderarse fácilmente de las cuentas en línea de cualquier persona que quisiera.
TechCrunch informó en su propia revisión que el servidor ahora está inactivo. Pero cuando el servidor dejó de funcionar, mostraba abiertamente más de 26 millones de mensajes de texto. Estos mensajes de texto contenían códigos de verificación de empresas como Microsoft, Amazon, Messenger, Booking.com y muchas más.
Fuente: https://techcrunch.com/2018/11/15/millions-sms-text-messages-leaked-two-factor-codes/
