Kiedyś do wysłania SMS przez system komputerowy potrzebny był kabelek, podpięta do niego Nokia i gnokii. Świat się rozwinął, a telefon został zastąpiony usługą online. Dzięki prostemu API, za niewielką opłatą miesięczną, możemy wysyłać swoim klientom SMS z hasłem jednorazowym, informację o nadchodzącym kurierze czy hasło do paczkomatu. Połączenie serwer->API szyfrowane, więc jesteśmy bezpieczni, tak?
My – może tak. Ale treść wysyłanych SMSów nie do końca. Przeglądając sieć z pomocą Shodana, Sébastien Kaul trafił na należący do firmy Voxox serwer zawierający aktualizowaną na bieżąco bazę SMSów wysyłanych przez klientów Voxox, podpiętą pod Elastic Search i – żeby ułatwić życie przeglądającym – Kibanę. Całość nie była zabezpieczona jakimkolwiek hasłem.
Dziennikarze TechCruncha, którzy przeglądali bazę, znaleźli w niej między innymi:
- kody do dwuskładnikowego uwierzytelniania partnerów Booking.com, Fidelity Investments, Google
- hasła tymczasowe
- informacje o przesyłkach wysyłanych z Amazonu
- kody weryfikujące numery telefonów
- przypomnienia o rachunkach do zapłacenia i wizytach u lekarzy
wszystko to z dokładnym czasem, informacją o nadawcy i odbiorcy.
Do czego użyć?
Chwila przeglądania takiej bazy daje pełnię wiedzy, jakie systemy wykorzystują ją do pełnej autoryzacji użytkownika – na przykład przez wysłanie mu tymczasowego hasła do logowania po kliknięciu „zapomniałem hasła”. To duże ułatwienie w wejściu na cudze konto – zarówno losowej osoby, jak i – przy odrobinie szczęścia włamywacza – przy ataku targetowanym. Można też, w niektórych wypadkach, przekierować cudzą przesyłkę pod inny adres, ułatwić sobie włamanie do systemu chronionego dwuskładnikowym uwierzytelnianiem, i zbudować bazę numerów telefonów osób korzystających z konkretnych usług medycznych.
Jak się bronić?
Jeśli jesteśmy twórcą oprogramowania – nie stawiajmy nigdzie niezabezpieczonej hasłem bazy. Ta banalna prawda wciąż jest nie do pojęcia dla wielu wielkich korporacji.
Jeśli jesteś użytkownikiem systemu wysyłającego ci SMSy, możesz nie mieć wiele do powiedzenia. Ale jeśli system daje ci możliwość autoryzacji metodą inną niż SMS – na przykład jedną z wielu aplikacji z hasłami jednorazowymi albo kluczem sprzętowym – korzystaj z tej opcji. Będzie to o wiele bezpieczniejsze niż klasyczny SMS, który jest podatny na ataki typu sim swapping, który może wykorzystywać niezabezpieczoną infrastrukturę i który korzysta ze standardu GSM, który również miewa swoje niedoskonałości.
Źródło:
U mnie nawet jak kurier ma adres i wszelkie dane to i tak potrafi olac przesylke i jej po prostu nie dostarczyc.
napisal bym o jaka firme chodzi ale nie chce robic reklamy. omijam szerokim lukiem cytrynowe pudełka.
A co do bazy sms-ow to chetnie bym taka baze dostal po polsku. Pisze jezyk i brakuje mi duzej bazy krotkich zdan wysylanych przez komunikatory/sms-y itp.