Baza SMSów w sieci

Kiedyś do wysłania SMS przez system komputerowy potrzebny był kabelek, podpięta do niego Nokia i gnokii. Świat się rozwinął, a telefon został zastąpiony usługą online. Dzięki prostemu API, za niewielką opłatą miesięczną, możemy wysyłać swoim klientom SMS z hasłem jednorazowym, informację o nadchodzącym kurierze czy hasło do paczkomatu. Połączenie serwer->API szyfrowane, więc jesteśmy bezpieczni, tak?

My – może tak. Ale treść wysyłanych SMSów nie do końca. Przeglądając sieć z pomocą Shodana, Sébastien Kaul trafił na należący do firmy Voxox serwer zawierający aktualizowaną na bieżąco bazę SMSów wysyłanych przez klientów Voxox, podpiętą pod Elastic Search i – żeby ułatwić życie przeglądającym – Kibanę. Całość nie była zabezpieczona jakimkolwiek hasłem.

Fragment bazy Voxox - screenshoot by TechCrunchźródło: TechCrunch

Dziennikarze TechCruncha, którzy przeglądali bazę, znaleźli w niej między innymi:

  • kody do dwuskładnikowego uwierzytelniania partnerów Booking.com, Fidelity Investments, Google
  • hasła tymczasowe
  • informacje o przesyłkach wysyłanych z Amazonu
  • kody weryfikujące numery telefonów
  • przypomnienia o rachunkach do zapłacenia i wizytach u lekarzy

wszystko to z dokładnym czasem, informacją o nadawcy i odbiorcy.

Do czego użyć?
Chwila przeglądania takiej bazy daje pełnię wiedzy, jakie systemy wykorzystują ją do pełnej autoryzacji użytkownika – na przykład przez wysłanie mu tymczasowego hasła do logowania po kliknięciu “zapomniałem hasła”. To duże ułatwienie w wejściu na cudze konto – zarówno losowej osoby, jak i – przy odrobinie szczęścia włamywacza – przy ataku targetowanym. Można też, w niektórych wypadkach, przekierować cudzą przesyłkę pod inny adres, ułatwić sobie włamanie do systemu chronionego dwuskładnikowym uwierzytelnianiem, i zbudować bazę numerów telefonów osób korzystających z konkretnych usług medycznych.

Jak się bronić?
Jeśli jesteśmy twórcą oprogramowania – nie stawiajmy nigdzie niezabezpieczonej hasłem bazy. Ta banalna prawda wciąż jest nie do pojęcia dla wielu wielkich korporacji.

Jeśli jesteś użytkownikiem systemu wysyłającego ci SMSy, możesz nie mieć wiele do powiedzenia. Ale jeśli system daje ci możliwość autoryzacji metodą inną niż SMS – na przykład jedną z wielu aplikacji z hasłami jednorazowymi albo kluczem sprzętowym – korzystaj z tej opcji. Będzie to o wiele bezpieczniejsze niż klasyczny SMS, który jest podatny na ataki typu sim swapping, który może wykorzystywać niezabezpieczoną infrastrukturę i który korzysta ze standardu GSM, który również miewa swoje niedoskonałości.

Źródło:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Zawodowo zajmuje się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i co drugiego odcinka podkastu Cyber Cyber... fundacji Bezpieczna Cyberprzestrzeń.

View all posts by lmj →

One Comment on “Baza SMSów w sieci”

  1. U mnie nawet jak kurier ma adres i wszelkie dane to i tak potrafi olac przesylke i jej po prostu nie dostarczyc.
    napisal bym o jaka firme chodzi ale nie chce robic reklamy. omijam szerokim lukiem cytrynowe pudełka.

    A co do bazy sms-ow to chetnie bym taka baze dostal po polsku. Pisze jezyk i brakuje mi duzej bazy krotkich zdan wysylanych przez komunikatory/sms-y itp.

Dodaj komentarz