Milhões de códigos de segurança 2FA do Google, WhatsApp, Facebook e TikTok foram vazados a partir duma falha no banco de dados da YX International. A investigação foi feita pela Anurag Sen. Na descoberta foram vistos registros mensais do mês de julho de 2023 e que o banco de dados estava completamente desprotegido.
O pior ainda estava por vir, qualquer pessoa, mesmo sem conhecimento técnico, poderia acessar o banco de dados pelo endereço de IP e em qualquer navegador. Porém, foi o site TechCrunch que comunicou a YX International que a empresa havia sido vítima de vazamentos de links de redefinição de senhas e códigos 2FA. Os dados vazados vão de redes sociais, sistemas internos além de contas de e-mails.
O impacto é monstruoso, tendo em vista que a empresa asiática faz roteamento de no mínimo 5 milhões de SMS por dia. Saiba que é comum alguns provedores 2FA enviarem os códigos de segurança para permitir a validação de acesso, o 2FA seria uma camada a mais de segurança. Assim, o 2FA deveria ser uma camada extra a senha ou contra-senha, seria basicamente a autenticação em dois fatores, sendo este a segunda autenticação além da senha.
Muitas empresas estão transferindo seus servidores de produção para a nuvem, mas, infelizmente, eles não têm autenticação e criptografia básicas. O banco de dados exposto mostra que o método de armazenamento e processamento da 2FA deve ser muito mais robusto e seguro”, acrescentou.
disse SEN a Forbes.
Este vazamento coloca os usuários em alto risco
Mesmo sabendo que estes códigos 2FA possui uma validade curta, mesmo assim usuários mal-intencionados podem descobrir quem é a vítima e passar a monitorá-la. Desta maneira, podem fazer uso do código em tempo hábil sabendo que e quais são os momentos em que este código é solicitado e utilizado.
As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.
disse Jake Moore, especialista em cibersegurança da ESET
Porém, a ESET fez questão de esclarecer que os usuários afetados não devem entrar em pânico, pois destacou que há outros métodos que reforçam a segurança. Existem outros métodos para receber o mesmo código.
Em resposta, a YX International assumiu que realmente a vulnerabilidade existiu, mas garantiu que foi corrigida.
Algumas recomendações da ESET para situações de vazamento de dados
A ESET compartilha alguns aspectos-chave que devem ser considerados após receber uma notificação sobre uma violação de dados:
- Manter a calma e ler a notificação atentamente: leia os detalhes do incidente até que façam sentido e compreenda o que foi roubado e o que isso implica. Também vale a pena guardar o e-mail com a notificação caso precise comprovar no futuro que a violação foi responsabilidade de terceiros.
- Certificar-se de que a notificação seja realmente legítima: uma campanha de phishing pode tentar chamar a atenção dos usuários alegando que seus dados foram envolvidos em uma violação para que cliquem em um link malicioso ou divulguem informações pessoais. Portanto, a primeira coisa a fazer diante de uma mensagem desse tipo é entrar em contato diretamente com a organização ou serviço que sofreu a violação, seja pelo site oficial ou pelas redes sociais. Se for uma fraude, denuncie e/ou exclua a mensagem.
- Manter a guarda alta contra possíveis fraudes: é provável que os atores maliciosos responsáveis pela violação tentem vender seus dados pessoais em fóruns clandestinos na dark web. Por isso, é importante estar atento a qualquer e-mail ou mensagem com aparência legítima que chegue após uma violação de dados.
- Alterar as senhas: mesmo que suas credenciais de login não tenham sido comprometidas na violação, atualizar as senhas pode ser uma boa ideia para garantir paz de espírito. E também trocar as senhas de qualquer outra conta em que você use a mesma chave de login.
- Revisar as contas bancárias e outras contas online: se a notificação alertar que as informações de login foram roubadas e forem usadas as mesmas para outras contas, altere-as imediatamente. Também vale a pena revisar as contas bancárias em busca de qualquer atividade suspeita.
- Cancelar ou congelar os cartões: diante da notificação de uma violação grave que envolve informações financeiras, é evidente que se deve informar imediatamente ao banco, cancelar ou congelar os cartões e trocar qualquer senha.
- Procurar proativamente pelos detalhes roubados: se as informações fornecidas pela organização que sofreu a violação forem muito vagas, é possível investigar para descobrir quais informações pessoais foram expostas. Sites como Have I Been Pwned oferecem esse tipo de serviço gratuitamente.
- Buscar compensação: se a violação causou angústia emocional ou financeira, é possível buscar algum tipo de compensação. Também é possível entrar em contato com o regulador de privacidade nacional para entender seus direitos e/ou consultar um especialista legal.