Una empresa de tecnología que enruta millones de mensajes de texto SMS en todo el mundo ha asegurado una base de datos expuesta que estaba divulgando códigos de seguridad únicos que pueden haber otorgado a los usuarios acceso a sus cuentas de Facebook, Google y TikTok.
La empresa asiática de tecnología e Internet YX International fabrica equipos de redes celulares y brinda servicios de enrutamiento de mensajes de texto SMS. El enrutamiento de SMS ayuda a enviar mensajes de texto de tiempo crítico a su destino adecuado a través de varias redes celulares y proveedores regionales, como un usuario que recibe un código de seguridad SMS o un enlace para iniciar sesión en servicios en línea.
YX International afirma enviar 5 millones de mensajes de texto SMS diarios.
Pero la compañía de tecnología dejó una de sus bases de datos internas expuesta a Internet sin contraseña, lo que permite que cualquiera pueda acceder a los datos confidenciales que contiene usando solo un navegador web, solo con el conocimiento de la dirección IP pública de la base de datos.
Anurag Senun investigador de seguridad de buena fe y experto en descubriendo lo sensible pero sin darse cuenta conjuntos de datos expuestos filtrándose a Internet, encontró la base de datos. Sen dijo que no estaba claro a quién pertenecía la base de datos ni a quién informar la filtración, por lo que Sen compartió detalles de la base de datos expuesta con TechCrunch para ayudar a identificar a su propietario e informar la falla de seguridad.
Sen dijo a TechCrunch que la base de datos expuesta incluía el contenido de mensajes de texto enviados a los usuarios, incluidos códigos de acceso de un solo uso y enlaces de restablecimiento de contraseña para algunas de las empresas tecnológicas y en línea más grandes del mundo, incluidas Facebook y WhatsApp, Google, TikTok y otras.
La base de datos tenía registros mensuales que se remontaban a julio de 2023 y su tamaño crecía minuto a minuto.
La autenticación de dos factores (2FA) ofrece mayor protección contra secuestros de cuentas en línea que se basan en el robo de contraseñas enviando un código adicional a un dispositivo confiable, como el teléfono de alguien. Los códigos de dos factores y los restablecimientos de contraseñas, como los que se encuentran en la base de datos expuesta, generalmente caducan después de unos minutos o una vez que se usan.
Pero los códigos enviados a través de mensajes de texto SMS no son tan seguros como formas más potentes de 2FA (un generador de códigos basado en aplicaciones, por ejemplo), ya que los mensajes de texto SMS sí lo son. propenso a la interceptación o exposicióno en este caso, filtrarse desde una base de datos a la web abierta.
En la base de datos expuesta, TechCrunch encontró conjuntos de direcciones de correo electrónico internas y contraseñas correspondientes asociadas con YX International, y alertó a la empresa sobre la base de datos filtrada. La base de datos se desconectó poco tiempo después. Un representante de YX International, que no proporcionó su nombre, respondió poco después de decir que la empresa «selló esta vulnerabilidad».
Cuando TechCrunch le preguntó, el representante de YX International dijo que el servidor no almacenaba registros de acceso, lo que habría determinado si alguien que no fuera Sen descubriera la base de datos expuesta y su contenido.
YX International no dijo durante cuánto tiempo estuvo expuesta la base de datos.
Cuando se contactó por correo electrónico, un portavoz de Meta no hizo comentarios. Los portavoces de Google y TikTok no respondieron a las solicitudes de comentarios.