Un problema di sicurezza ha esposto un enorme database, contenente decine di milioni di SMS, inclusi quelli con i link di reimpostazione password, codici a due fattori e notifiche di spedizione.
Il server esposto appartiene a Voxox (in precedenza Telcentris), una compagnia di comunicazioni con sede a San Diego, in California e non era protetto con una password, consentendo a chiunque sapesse dove cercare di sbirciare tra i messaggi di testo quasi in tempo reale.
Per Sébastien Kaul, un ricercatore di sicurezza con sede a Berlino, non ci è voluto molto tempo per trovare questo server e i dati in esso contenuti.
Purtroppo sono le aziende come Voxox che fungono da gateway e convertono i codici di autenticazione in due fattori inviati in messaggi di testo, da passare alle reti cellulari per il recapito al telefono dell’utente e la sicurezza dovrebbe rappresentare, pertanto, l’aspetto principale a cui prestare attenzione.
Dopo una richiesta effettuata dallo staff di TechCrunch, Voxox ha disconnesso il database, che sembra abbia una media di oltre 26 milioni di messaggi inviati all’anno.
Molte aziende, come Facebook, Twitter e Instagram, hanno implementato l’autenticazione a due fattori basata su app per evitare la verifica basata su SMS, che è stata a lungo considerata vulnerabile all’intercettazione. A quanto pare, non si tratta di una scelta infondata.