Μια εταιρεία τεχνολογίας που δρομολογεί εκατομμύρια μηνύματα κειμένου SMS σε όλο τον κόσμο άφησε εκτεθειμένη μια βάση δεδομένων που έστελνε κωδικούς ασφαλείας για να παρέχει στους χρήστες πρόσβαση στους λογαριασμούς τους στο Facebook, στο Google και στο TikTok.
Η ασιατική εταιρεία τεχνολογίας και διαδικτύου YX International κατασκευάζει εξοπλισμό δικτύωσης κινητής τηλεφωνίας και παρέχει υπηρεσίες δρομολόγησης μηνυμάτων κειμένου SMS. Η δρομολόγηση SMS βοηθά στη λήψη των κρίσιμων μηνυμάτων κειμένου στον σωστό προορισμό τους μέσω διαφόρων τοπικών δικτύων κινητής τηλεφωνίας και παρόχους.
Η YX International ισχυρίζεται ότι στέλνει 5 εκατομμύρια μηνύματα SMS καθημερινά, αλλά “ξέχασε” μια από τις εσωτερικές της βάσεις δεδομένων εκτεθειμένη στο διαδίκτυο χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση στα ευαίσθητα δεδομένα με ένα πρόγραμμα περιήγησης, αν γνώριζε την δημόσια διεύθυνση IP.
Ο Anurag Sen, ένας ερευνητής ασφάλειας και ειδικός στην ανακάλυψη ευαίσθητων αλλά ακούσια εκτεθειμένων δεδομένων που διαρρέουν στο Διαδίκτυο, ήταν αυτός που βρήκε τη βάση δεδομένων.
Ο Sen ανέφερε ότι δεν γνώριζε σε ποιον ανήκει η βάση δεδομένων για να αναφέρει τη διαρροή. Έτσι ο ερευνητής μοιράστηκε λεπτομέρειες της εκτεθειμένης βάσης δεδομένων με το TechCrunch για να βοηθήσει στην αναγνώριση του κατόχου της.
Ο Sen ανέφερε στο TechCrunch ότι η εκτεθειμένη βάση δεδομένων περιελάμβανε τα περιεχόμενα των μηνυμάτων κειμένου που αποστέλλονται στους χρήστες, όπως κωδικούς πρόσβασης μίας χρήσης και συνδέσμων επαναφοράς κωδικών πρόσβασης για μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας στο διαδίκτυο (Facebook, WhatsApp, Google, TikTok και άλλες).
Η βάση δεδομένων είχε μηνιαία αρχεία καταγραφής που χρονολογούνται από τον Ιούλιο του 2023 και μεγάλωνε σε μέγεθος ανά λεπτό. Στην εκτεθειμένη βάση δεδομένων, το TechCrunch βρήκε σύνολα εσωτερικών διευθύνσεων email και αντίστοιχους κωδικούς πρόσβασης που σχετίζονται με την YX International και ειδοποίησε την εταιρεία για τη διαρροή.
Η βάση δεδομένων τέθηκε εκτός σύνδεσης λίγο αργότερα.