Anzeige

Undichte Datenbank legt Millionen Zwei-Faktor-Codes, SMS und mehr offen

    7

Ein Sicherheitsleck im kalifornischen San Diego gibt Anlass zur Beunruhigung.

Der Berliner Sicherheitsforscher Sébastien Kaul konnte Zugriff auf eine riesige Datenbank mit zig Millionen Textnachrichten, darunter Links zum Zurücksetzen von Kennwörtern, Zwei-Faktor-Codes, Versandbenachrichtigungen und mehr, erlangen.

Die Server im kalifornischen San Diego gehören dem Kommunikations-Unternehmen Vovox, das den Server nicht mit einem Kennwort geschützt hatte. Kaul stieß in einer Suchmaschine für öffentlich verfügbare Geräte und Datenbanken auf die Datensätze. Die Daten, berichtet das US-Magazin TechCrunch, seien „leicht lesbar, durchsuchbar und können nach Namen, Zellennummern und dem Inhalt der Textnachrichten selbst durchsucht werden“.

Voxox fungiert als Gateway und wandelt diese Text-Codes in Textnachrichten um, die an die Mobilfunknetze zur Zustellung an das Telefon des Benutzers weitergeleitet werden. Mehr als 26 Millionen Textnachrichten sollen offengelegen haben. Die Zahl könnte nach Ansicht von Sicherheitsforschern auch noch höher sein, über die Folgen des Breaches ist bisher nichts bekannt:

„Jeder Datensatz wurde sorgfältig gekennzeichnet und detailliert beschrieben, einschließlich der Mobiltelefonnummer des Empfängers, der Nachricht, des Voxox-Kunden, der die Nachricht gesendet hat, und des verwendeten Kurzcodes. Ungeachtet der Gefährdung durch persönliche Informationen und Telefonnummern hätte die Möglichkeit, in Echtzeit auf Zwei-Faktor-Codes zuzugreifen, unzählige Konten gefährdet. In einigen Fällen benötigen Websites nur eine Telefonnummer, um ein Konto zurückzusetzen.“

Nach der Entdeckung hat Vovox den Server offline genommen. Man werde „sich mit dem Problem befassen“, erklärte einer der Mitgründer.

Teile
in diesem Artikel

Anzeige

Deine Meinung ist wichtig

Die Kommentarfunktion von Disqus wird als Frame eingebunden. Wenn Sie eine Meinung/einen Kommentar abgeben wollen, verlassen Sie damit unsere Webseite/App und posten über Disqus.