Egy német biztonsági kutató felfedezett egy szabadon hozzáférhető adatbázist, amelyben 26 millió sms üzenet szövege volt bárkinek elérhető – írja a Verge.

Az adatbázis a Voxox nevű amerikai központú cégé volt, amely céges kommunikációs megoldásokat kínál. Az sms-ek teljesen védtelenek, bárki által felfedezhetők és hozzáférhetők voltak, sőt még keresni is lehetett közöttük név és telefonszám alapján – ráadásul közel valós időben.

Ez utóbbi azért különösen kellemetlen, mert azon túl, hogy személyes adatok vagy más érzékeny információ is lehetett az sms-ekben, még mindig sok netes szolgáltatástól kérhetők sms-ben a biztonsági belépőkódok is – hiába mondják már egy ideje a szakértők, hogy a két tényezős hitelesítésnek ez a formája egyáltalán nem biztonságos, mert az sms-ek szövege titkosítatlan és az üzenetek könnyen eltéríthetők.

Ha tehát egy hekker már korábban ellopta egy felhasználó jelszavát valamilyen online fiókhoz, de eddig nem tudott bejutni, mert a szolgáltató extra kódot küldött sms-ben, ennek az adatbázisnak a birtokában csak ki kellett keresnie az illető üzeneteit, és beírnia az oda érkező kódot, például a Google-től, a Microsofttól vagy az Amazontól.

Miután a berlini Sébastien Kaul felfedezte az adatbázist, az továbbra is elérhető maradt, a cég csak akkor szedte le, amikor már a Techcrunch kereste őket, hogy kommentálják a történteket.

Az ilyen esetek rávilágítanak, hogy érdemes minél kevesebb dolgot sms-ben intézni, és pláne az éppen biztonsági okból kapott belépőkódot nem ebben a formában kérni. Maga a két tényezős hitelesítés az egyik legegyszerűbb módszer a hétköznapi hekkerek ellen, de sms-kód helyett használjanak inkább mobilos kódgenerátor appot, mint amilyen a Google Authenticator, az Authy vagy a Lastpass Authenticator.