Codici 2FA: database esposto mette a rischio milioni di utenti

La società asiatica nota come YX International ha commesso una leggerezza che potrebbe costare molto cara a milioni di utenti.

La compagnia, che si occupa tra le altre cose di gestire la distribuzione di SMS in tutto il mondo, non ha infatti protetto adeguatamente un database utilizzato per la gestione dei codici monouso tramite messaggio. I dati contenuti nell’archivio, di fatto, sono risultati di libero accesso a chiunque.

Tenendo conto come YX International gestisca si sistemi 2FA di colossi tecnologici come Facebook, TikTok, WhatsApp e Google, è facile intuire come tale disattenzione possa avere esiti disastrosi. Per capire quanto tale azienda sia importante nel proprio settore, basta pensare al fatto che la stessa gestirebbe ben 5 milioni di SMS ogni giorno.

La clamorosa scoperta è merito di Anurag Sen, ricercatore di sicurezza che ha scoperto l’incredibile leggerezza di XY International, che di fatto non proteggeva il database con alcun tipo di password o protezione di sorta.

Codici 2FA e non solo: ecco cosa conteneva il database esposto

Il ricercatore che ha scoperto il database privo di protezioni, non sapendo bene di cosa si trattasse, ha contattato il sito TechCrunch per capire il proprietario dello stesso, senza rendere pubblica la falla prima delle analisi del caso.

Di fatto, però, è apparso subito chiaro come la situazione fosse grave. Il database, infatti, contiene messaggi di testo inviati agli utenti, inclusi codici di accesso monouso e collegamenti per la reimpostazione della password per alcune delle più grandi piattaforme e servizi online. I dati contenuti nell’archivio includevano messaggi archiviati a partire da luglio 2023.

Tutto ciò risulta alquanto grave, anche perché l’autenticazione a due fattori è considerata come una delle tecniche più sicure per proteggere account online.

Il già citato sito TechCrunch, poi, ha compreso come in realtà gli SMS non erano gli unici dati preziosi presenti nel database. A quanto pare, infatti, lo stesso includeva password e indirizzi e-mail. YX International non ha rivelato per quanto tempo il database è stato esposto.