Bez dozoru zůstaly miliony ověřovacích kódů, dotklo se to WhatsAppu, Googlu i Facebooku

Obrovský únik citlivých dat hrozil trojici velikých společností, jejichž SMS zprávy nejenom zůstaly nezabezpečené, ale dokonce volně přístupné de facto komukoliv.

iStock

Komunikační aplikaci WhatsApp využívají stovky milionů uživatelů po celém světě, takže by nejspíše každý z nich doufal, že bude také řádně zabezpečená. O největší sociální síti světa, Facebooku, natož pak o Googlu, nemluvě. Jak ovšem upozornil Forbes, opak může být pravdou – miliony bezpečnostních kódů a databáze citlivých SMS zpráv byla nechráněná a přístupná de facto komukoliv.

SMS zprávy byly nechráněné a on-line

Jak Forbes zmíněný výše uvádí, bezpečnostní výzkumník Anurag Sen objevil interní databázi, který zůstala nechráněná, potažmo bez hesla, ačkoliv byla dostupná na internetu. Takže každý, kdo znal její IP adresu, k ní mohl přistupovat bez jakýchkoliv překážek. Teoreticky mohla být zneužita jak zaměstnanci, tak útočníky zvenčí, kteří na ni „dostali tip“. Databáze byla později, resp. po kontaktování reportérů z TechCrunch, zabezpečena. 

Jejím vlastníkem byla přitom asijská společnost YX International, která zajišťovala směrování SMS zpráv, a jelikož jich zpracovává kolem 5 milionů denně, jednalo se o obrovskou „studnici“ citlivých informací. Šlo např. o odkazy k resetování hesel a různé kódy pro 2FA pro přihlašování do Googlu, Facebooku a WhatsAppu, což je dvoufaktorové ověřování, vysvětluje Microsoft.

O bezpečnostní riziko se naštěstí nejedná

Ačkoliv je možný únik takového množství dat překvapivý a znepokojivý, odkazuje se Forbes zmíněný výše na to, že komunikoval s více bezpečnostními experty, kteří uvedli, že se uživatelé nemusí cítit nijak zranitelní. Platnost odkazů i hesel v rámci 2FA má totiž krátkou platnost, takže je velmi nepravděpodobné – avšak nikoliv nemožné – že by útočníci dokázali za tak krátkou chvíli spojit informace s cílem a tomu nějak uškodit.

Na druhou stranu to přece jenom přináší otázku, zda by neměla být veškerá data zabezpečena mnohem lépe? Či alespoň nějak? Kybernetické hrozby dnes nelze brát na lehkou váhu, a pokud hrozí jakýkoliv útok nebo poškození, je to velmi špatné.