Massive Sicherheitsverletzung deckt 26 MILLIONEN SMS-Textnachrichten mit privaten Kundendaten auf.

Ein massiver Datenschutzverletzung hat Dutzende von Millionen von SMS-Textnachrichten aufgedeckt.

Der Verstoß betraf eine Datenbank mit 26 Millionen Textnachrichten, von denen einige private Kundendaten wie Passwort-Rückstellungsinformationen, Lieferbenachrichtigungen und Zwei-Faktor-Authentifizierungscodes enthielten, berichtete TechCrunch.

Die Datenbank wurde von Voxox, einem kalifornischen Kommunikationsunternehmen, betrieben.

Erschwerend kommt hinzu, dass die Datenbank nicht einmal passwortgeschützt war, so Sebastian Kaul, ein Berliner Sicherheitsforscher, der die Schwachstelle entdeckt hat.

Kaul stolperte über die Datenbank und stellte fest, dass sie nicht nur ohne Passwort war, sondern auch nach Namen und Telefonnummern gesucht werden konnte.

Voxoxox fungiert als Mittler zwischen App-Entwicklern und Anwendern.

Wenn beispielsweise jemand darum bittet, sein Passwort zu ändern, kann die App einen Link oder Code zum Zurücksetzen des Kontos an das Telefon der Person senden.

Voxox wandelt diese Codes in Textnachrichten um, die dann an das Telefon des Benutzers gesendet werden.

Die Datenbank enthielt auch Textnachrichten, die an Kunden von Unternehmen wie Google, Amazon und Microsoft gesendet wurden.

Besorgniserregend ist, dass die Datenbank auch nach der Entdeckung der Schwachstelle noch aktiv war, was bedeutet, dass versierte Hacker alle Anforderungen an das Zurücksetzen von Passwörtern oder Zwei-Faktor-Authentifizierungscodes überwachen und diese verwenden konnten, um in das Konto eines Benutzers zu gelangen, wenn sie über die richtigen Anmeldeinformationen verfügten.

Viele Zwei-Faktor-Authentifizierungs- und Reset-Codes sind nur für einen kurzen Zeitraum verwendbar, aber wenn sie zum richtigen Zeitpunkt abgefangen werden, hätten Hacker sie verwenden können.

TechCrunch kontaktierte später Voxox wegen des Problems und das Unternehmen zog die Datenbank offline.

Das Unternehmen fügte hinzu, dass es im Moment das Problem untersucht und sich an die Standardrichtlinie für Datenschutzverletzungen hält, sowie die Auswirkungen bewertet.

TechCrunch beobachtete auch, welche Arten von Daten in Echtzeit durch die Datenbank von Voxoxox geleitet wurden.

Jeder Datensatz in der Datenbank wurde mit der Telefonnummer des Empfängers versehen, enthielt die Nachricht und notierte, welcher Voxoxox-Kunde die Nachricht gesendet hatte.

Unter den vielen Texten enthielt einer ein Passwort für ein Badoo Dating App Konto, während mehrere Nachrichten Passwort-Rückstellungscodes für Microsoft- und Huawei-Konten enthielten.

Der Verstoß verdeutlicht die Schwachstellen bei der Verwendung von textbasierter Zwei-Faktor-Authentifizierung oder beim Senden von Links zum Zurücksetzen von Konten per SMS.

Viele Sicherheitsexperten empfehlen eine app-basierte Zwei-Faktor-Authentifizierung, die tendenziell sicherer ist als eine SMS-basierte Verifizierung.

Eine weitere Option ist die Verwendung einer Authentifizierungsanwendung wie 1Password, die über einen integrierten Zwei-Faktor-Authentifizierungscodegenerator verfügt.

Teilen Ist Liebe! ❤

tekk.tv

Lange Zeit war Paul Florian in der TV-Branche tätig. Schon immer gab es eine Schublade voller Handys (und später Smartphones) in seiner Wohnung. Als Online-Redakteur hat der Nerd in ihm diese Schublade nun für Tekk geöffnet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

shares