Voxox: Millionen SMS offen und durchsuchbar im Netz
Dass 2-Faktor-Authentifikation per SMS keine unbedingt gute Idee ist, illustriert ein Vorfall in den USA. Dort standen die Nachrichten eines Anbieters im Netz.
Die Security-Suchmaschine Shodan offenbart immer wieder ungesicherte Server, auf denen brisante Daten liegen. Ein Berliner Sicherheitsforscher hat nun offenbar die komplette SMS-Datenbank des US-Anbieters Voxox entdeckt – lesbar für jeden und sogar mit einem Suchinterface.
Suchmaschine fĂĽr privateste Nachrichten
Wie das Magazin Techcrunch berichtet fanden sich insgesamt 26 Millionen Textnachrichten auf dem ungeschützten Server. Dank der gleichfalls installierten Elasticsearch von Amazon und dem Kibana-Frontend konnte jedermann die Datenbank nach Namen, Telefonnummern und sogar nach übermittelten Inhalten durchsuchen. Das kalifornische Unternehmen wickelt Kommunikationsdienste für Firmenkunden ab und liefert laut Eigenwerbung SMS in 180 Ländern aus.
Eine flüchtige Suche durch den Datenbestand offenbarte brisante Inhalte. So fand Techcrunch beispielsweise ein Klarwort-Passwort, das der chinesische Dating-Anbieter Badoo an einen Kunden geschickt hatte. Dazu fanden sich zahlreiche Codes, die zur Zwei-Faktor-Authentifizierung verschickt worden waren – von Google-Accounts bis zum Zugang zu den internen Systemen großer Konzerne. Hinzu kamen noch zahlreiche Nachrichten, mit denen Services die Identität ihrer Kunden zu verifizieren versuchten.
Potenzielles Desaster
Die Offenlegung dieser Daten hätte ernste Folgen haben können: Angreifer können mit diesen Codes die Identität eines Opfers stehlen oder sich Zugang zu anderen Systemen erschleichen. So haben es Kriminelle in der Vergangenheit öfters geschafft, die SMS-Authentifizierung auszuhebeln, um Zugriff auf interne Firmendatenbanken zu bekommen oder die Konten deutscher Bankkunden zu plündern. Die Möglichkeiten unverschlüsselte SMS abzufangen sind dabei vielfältig.
Da die Daten von Voxox laut Techcrunch nahezu in Echtzeit in die offene Datenbank eingetragen wurden, hätten Angreifer Nachrichten lesen können, noch bevor ein Nutzer selbst Gelegenheit hatte, den Authentifizierungscode zu nutzen. Oder sie hätten eine Authentifizierung unter fremder Telefonnummer gleich selbst in Gang setzen können.
Auf Anfrage von heise online bestätigt Voxox den Vorfall: "Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden", heißt es in dem Statement. Nachdem Voxox von der Lücke informiert worden sei, habe man sie innerhalb von Minuten gestopft.
"Nach einer internen Untersuchung und der gründlichen Auswertung der Zugangs-Logs sind wir zuversichtlich, dass keine Daten von einem böswiligen Dritten gesehen oder heruntergeladen wurden", schreibt Voxox in seinem Statement. Auf der eigenen Website und den Social-Media-Kanälen schweigt sich das Unternehmen derweil über den Vorfall aus.
[Update 20.11.2018 – 13:40 Uhr] Das betroffene Unternehmen heißt Voxox, der falsche Namen wurde korrigiert. (mho)