В открытый доступ попала база данных с SMS-сообщениями, содержащими миллионы кодов двухфакторной аутентификации и ссылок для сброса паролей.
Утечку допустил сервис Vovox, рассылающий уведомления с сайтов и сервисов с помощью SMS-шлюза.
Базу нашел специалист по безопасности из Берлина Себастьян Коул с помощью поисковика по базам данных Shodan. Оказалось, что сервер не был защищен паролем. Данные обновлялись почти в режиме реального времени: с задержкой в несколько секунд. Таким обращом злоумышленники могли воспользоваться полученной информацией: утечка представляла реальную угрозу безопасности.
Пример страницы в базе Vovox: на изображении виден номер телефона и пароль для сброса аккаунта.
Представители издания TechCrunch провели расследование и выяснили, что помимо кодов и ссылок для сброса пароля в базе данных содержались пароли от аккаунтов, коды безопасности и номера телефонов пользователей.
Сервисы, информация из которых попала в общий доступ:
- Google,
- Booking.com,
- Amazon,
- Yahoo,
- Viber,
- Квиз HQ Trivia,
- Badoo.
Сейчас база удалена из открытого доступа, а в Vovox проводится внутреннее расследование.
Напомним, в начале ноября стало известно об очередной утечке данных из Facebook.
Источник: TechCrunch