Una empresa de tecnología que envía millones de mensajes de texto SMS en todo el mundo ha asegurado una base de datos expuesta que estaba filtrando códigos de seguridad de un solo uso que podrían haber otorgado acceso a las cuentas de Facebook, Google y TikTok de los usuarios.
La empresa tecnológica e internet asiática YX International fabrica equipos de red celular y brinda servicios de enrutamiento de mensajes de texto SMS. El enrutamiento de SMS ayuda a enviar mensajes de texto críticos a tiempo a su destino adecuado a través de diversas redes celulares regionales y proveedores, como por ejemplo, un usuario recibiendo un código de seguridad o un enlace por SMS para iniciar sesión en servicios en línea.
YX International afirma enviar 5 millones de mensajes de texto SMS diariamente.
Sin embargo, la empresa tecnológica dejó una de sus bases de datos internas expuesta en internet sin contraseña, permitiendo que cualquiera acceda a los datos sensibles dentro utilizando solo un navegador web, teniendo conocimiento de la dirección IP pública de la base de datos.
Anurag Sen, un investigador de seguridad de buena fe y experto en descubrir conjuntos de datos sensibles pero inadvertidamente expuestos que se filtran en internet, encontró la base de datos. Sen dijo que no estaba claro a quién pertenecía la base de datos ni a quién informar sobre la filtración, por lo que Sen compartió detalles de la base de datos expuesta con TechCrunch para ayudar a identificar a su propietario e informar sobre la falla de seguridad.
Sen le dijo a TechCrunch que la base de datos expuesta incluía el contenido de mensajes de texto enviados a usuarios, incluidos códigos de un solo uso y enlaces de restablecimiento de contraseña para algunas de las mayores compañías tecnológicas y en línea del mundo, como Facebook y WhatsApp, Google, TikTok y otros.
La base de datos tenía registros mensuales que se remontaban a julio de 2023 y estaba creciendo en tamaño minuto a minuto.
La autenticación de dos factores (2FA) ofrece una mayor protección contra los secuestros de cuentas en línea que dependen del robo de contraseñas al enviar un código adicional a un dispositivo de confianza, como el teléfono de alguien. Los códigos de dos factores y los restablecimientos de contraseña, como los encontrados en la base de datos expuesta, suelen caducar después de unos minutos o una vez que se utilizan.
Pero los códigos enviados por SMS no son tan seguros como formas más fuertes de 2FA, como un generador de códigos basado en aplicaciones, ya que los mensajes de texto SMS son propensos a la interceptación o exposición, o en este caso, a filtrarse desde una base de datos a la web abierta.
En la base de datos expuesta, TechCrunch encontró conjuntos de direcciones de correo electrónico internas y contraseñas correspondientes asociadas con YX International, y alertó a la empresa sobre la base de datos expuesta. La base de datos se desconectó poco después. Un representante de YX International, que no proporcionó su nombre, respondió poco después diciendo que la empresa “selló esta vulnerabilidad”.
Cuando TechCrunch preguntó, el representante de YX International dijo que el servidor no almacenaba registros de acceso, lo que habría determinado si alguien además de Sen descubrió la base de datos expuesta y su contenido.
YX International no quiso decir por cuánto tiempo estuvo expuesta la base de datos.
Cuando se contactó por correo electrónico, un portavoz de Meta no comentó. Los portavoces de Google y TikTok no respondieron a las solicitudes de comentarios.
[[IMG::]]
