2-Faktor-Authentifikation: Vovox-SMS-Daten in Echtzeit ins Netz geleakt

Sicherheit, passwort, Authentifizierung Bildquelle: Pixabay
Die 2-Faktor-Authentifikation verspricht viel Sicherheit, wird das System allerdings über SMS realisiert, melden Sicherheitsexperten einige Bedenken an. Jetzt zeigt ein Fall aus den USA, wie die Nachlässigkeit eines Anbieters die Sicherheit von Millionen Nutzern gefährdet. Authentifizierungs-SMS waren in Echtzeit im Netz gelandet.

Ein offener Server mit ganz viel brisantem Inhalt

Eigentlich wickelt das US-amerikanische Unternehmen Vovox nach eigenen Angaben Kommunikationsdienste für Firmenkunden ab und bietet dabei auch eine Auslieferung von SMS in über 180 Länder an. Wie jetzt Techchrunch berichtet, kam es genau rund um diesen SMS-Dienst jetzt zu einer unschönen Entdeckung. Ein Berliner Sicherheitsforscher fand im Netz einen ungesicherten Server, auf dem die komplette SMS-Datenbank des Anbieters hinterlegt war. Infografik: Zwei-Wege-AuthentifikationZwei-Wege-Authentifikation Laut des Berichts waren rund 26 Millionen Textnachrichten auf dem für jedermann zugänglichen Server zu finden. Dank der Integration des Frontends Kibana und der Amazon-Suche Elasticsearch war es sehr leicht möglich, neben Namen und Telefonnummer auch die Inhalte der übermittelten Daten zu durchsuchen. Wie sich dann bei einer ersten Durchsicht des Bestands zeigt, findet sich darunter durchaus brisanter Inhalt.

So konnten unter den Nachrichten Klarwort-Passwörter entdeckt werden, die der chinesische Dating-Anbieter Badoo an einen Kunden verschickt hatte. Darüber hinaus finden sich unzählige Codes, die zur Zwei-Faktor-Authentifizierung verschickt worden waren und von Google-Accounts bis hin zu Firmennetzwerken reichen.

Nahezu in Echtzeit

Besonders brisant: Wie Techcrunch ausführt, war die Eintragung der Daten in die öffentliche Datenbank nahezu in Echtzeit erfolgt, was es Angreifern möglich macht, die Inhalte gleichzeitig oder sogar noch vor dem Nutzer zu lesen - und so beispielsweise einen Authentifizierungscode für die eigenen Zwecke zu nutzen.

heise erhielt von Vovox auf Anfrage eine Bestätigung des Vorfalls: "Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden", heißt es in dem Statement. Nach Bekanntwerden sei die Lücke "innerhalb von Minuten" gestopft worden. Eine Untersuchung habe keine Kompromittierung durch Dritte ergeben.

Windows 10: So aktiviert man das Auto-Login nach Update-Installation

Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Pixabay
2018-11-20T13:20:00+01:00
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:30 Uhr Funksteckdosen Set Funksteckdosen mit Fernbedienungen, Funkschalt Set Selbstlern-Funktion, 2300 Watt für Licht, Haushaltsgeräte, Reichweite 30mFunksteckdosen Set Funksteckdosen mit Fernbedienungen, Funkschalt Set Selbstlern-Funktion, 2300 Watt für Licht, Haushaltsgeräte, Reichweite 30m
Original Amazon-Preis
29,99
Im Preisvergleich ab
?
Blitzangebot-Preis
21,49
Ersparnis zu Amazon 28% oder 8,50
Alle Amazon Blitzangebote

Neueste Downloads

Mehr Downloads

Video-Empfehlungen

Neue Nachrichten

Themen-Übersicht

Beliebte Nachrichten

Tipp einsenden

Hinweise zum Einsenden von Tipps