泄露的数据库泄露了全球科技巨头的2FA代码

一家在全球范围内发送数百万条短信的科技公司获得了一个暴露的数据库，该数据库泄露了一次性安全码，这些安全码可能允许用户访问他们的Facebook、谷歌(Google)和TikTok账户。

亚洲科技和互联网公司YX International生产蜂窝网络设备，并提供短信路由服务。SMS路由有助于在不同的区域蜂窝网络和提供商之间将时间关键的文本消息发送到适当的目的地，例如用户接收SMS安全代码或登录在线服务的链接。

YX国际声称每天发送500万条短信。

但这家科技公司的一个内部数据库在没有密码的情况下暴露在互联网上，任何人只要知道数据库的公共IP地址，就可以使用网络浏览器访问其中的敏感数据。

阿努拉格·森(Anurag Sen)是一位真诚的安全研究员，也是发现敏感但无意中暴露的数据集泄露到互联网的专家，他发现了这个数据库。森说，目前还不清楚数据库属于谁，也不知道该向谁报告泄露，因此，森与TechCrunch分享了暴露数据库的详细信息，以帮助确定其所有者并报告安全漏洞。

森告诉TechCrunch，暴露的数据库包括发送给用户的短信内容，包括一些世界上最大的科技和在线公司的一次性密码和密码重置链接，包括Facebook和WhatsApp、谷歌、TikTok等。

该数据库的月度日志可以追溯到2023年7月，并且每分钟都在增长。

双因素身份验证(2FA)提供了更好的保护，防止在线帐户劫持，这些劫持依赖于通过向可信设备(例如某人的手机)发送额外的代码来窃取密码。双因素代码和密码重置，就像在暴露的数据库中发现的那样，通常在几分钟后或一旦使用就会过期。

但是，通过SMS文本消息发送的代码不如更强大的2FA形式(例如基于应用程序的代码生成器)安全，因为SMS文本消息容易被拦截或暴露，或者在这种情况下，从数据库泄露到开放的网络上。

在泄露的数据库中，TechCrunch发现了与YX International相关的几组内部电子邮件地址和相应的密码，并提醒该公司注意泄露的数据库。不久之后，数据库脱机了。YX International的一名不愿透露姓名的代表在表示该公司“封堵了这个漏洞”后不久做出了回应。

当被TechCrunch询问时，YX国际的代表表示，服务器没有存储访问日志，这将确定是否有其他人发现了暴露的数据库及其内容。

YX International不愿透露数据库暴露了多长时间。

当记者通过电子邮件联系到Meta的发言人时，他没有发表评论。谷歌和TikTok的发言人没有回应置评请求。

原文始发于微信公众号（HackSee）：泄露的数据库泄露了全球科技巨头的2FA代码