Un investigador de seguridad llamado Sébastien Kaul descubrió recientemente una base de datos totalmente desprotegida en los servidores de Vovox. Dicho servidor ni siquiera estaba protegido con contraseña, y eso daba acceso potencial a cerca de 26 millones de mensajes SMS entre los cuales estaban códigos de autenticación en dos pasos.
La vulnerabilidad demuestra que los tradicionales mensajes cortos son una mala opción a la hora de proteger nuestros servicios con la siempre recomendable capa 2FA (Two-Factor Authentication), y hay propuestas mucho más recomendables como las aplicaciones específicas para este ámbito.
Bien por la autenticación en dos pasos, mal por usar los SMS en esta tecnología
La base de datos no solo era fácilmente accesible -el investigador la descubrió a través del popular buscador Shodan- sino que el formato utilizado, Kibana, presenta los datos (nombres, fechas, números de móvil y contenidos del mensaje) de una forma que hacía aún más fácil su consulta por parte de posibles atacantes.
En el informe del investigador se detectó como muchos códigos de autenticaicón de distintos servicios se enviaban en texto plano de forma que podían ser interceptados y plantear una seria amenaza para lograr tomar el control de las cuentas de usuario en todos esos ervicios.
Como indican los expertos eso códigos de autenticación tienen un periodo de validez reducido lo que hace que l acceso a la base de datos no tuviera mucho valor si se hizo recientemente. El problema es que alguien tuviera acceso a dicha base de datos en el pasado y de forma continuada, lo que podría dar lugar a esas intercepciones de cuentas habitualmente con contenidos sensibles.
Utilizar sistemas de autenticación en dos pasos sigue siendo una idea fantástica para añadir una capa más de seguridad a nuestros servicios y son muchos los que permiten hacerlo, pero hace tiempo que se desaconseja el uso del SMS.
Incluso el NIST (National Institute of Standards and Technology) declaró oficialmente ya hace dos años que los mensajes cortos ya no eran adecuados para este tipo de escenarios. Aplicaciones móviles como Google Authenticator, Microsoft Authenticator o la popular Authy son alternativas más seguras, como revelaba el propio informe de este organismo.
Vía | TechCrunch
Ver 2 comentarios