資料洩露大事件 | 價值數十億美元客戶資料曝光

Editor發表於2019-01-17

去年 11 月,一家名為 Voxox 的電信企業不慎洩露了一個包含數百萬條簡訊的資料庫,其中包括了密碼重置和雙因素認證程式碼。在安全研究人員曝光之前,其安全漏洞已向攻擊者敞開數月。由於伺服器未受保護,事件導致數百萬份呼叫日誌和文字訊息被洩露。


令人驚恐的是,時隔兩月,另一家名叫Voipo通訊提供商,又洩露了價值數十億美元的客戶資料。


資料洩露大事件 | 價值數十億美元客戶資料曝光


Voipo 是一家總部位於加利福尼亞州 Lake Forest 的網際網路語音服務提供商,提供面向住宅和商用的電話服務,並且支援雲端控制。


上週,安全研究員 Justin Paine 找到了暴露的資料庫,並與該公司的技術長取得了聯絡。然而在 Paine 通報之前,Voipo 的資料庫就已經離線了。


據悉,該公司的後端路由,可用於為其使用者排程和處理文字訊息。


但由於其中一個後端的 ElasticSearch 資料庫未受到密碼保護,因此任何人都可以查詢雙向傳送的實時呼叫日誌和文字訊息流。


資料洩露大事件 | 價值數十億美元客戶資料曝光


這是迄今為止最大的資料洩露事件之一 ,到目前為止, 總計接近700萬個呼叫日誌,600萬條簡訊以及包含未加密密碼的其他內部文件(如果使用這些密碼)可能使攻擊者能夠深入訪問公司的系統。


若被攻擊者拿到這些憑證,將使之獲得對企業系統的深度訪問許可權。外媒在審查了部分資料後發現,某些日誌中的網址,竟直接指向客戶的登入頁面。


Paine 在部落格文章中指出,資料庫自 2018 年 6 月開始被曝光,幷包含了可追溯至 2015 年 5 月的電話和簡訊日誌。


每天更新的日誌,已經更新到 1 月 8 號 —— 資料庫於當日正式離線,但許多檔案包含了非常詳細的呼叫紀錄、呼叫方、日期、時間等機密資訊。


儘管呼叫日誌中的一些號碼被打碼,但簡訊日誌裡的收件人和發件人資訊(以及郵件正文),都是完全裸露的。


與去年的 Voxox 漏洞類似,任何截獲的包含雙因素程式碼或密碼重置連結的簡訊,都使得攻擊者有機會繞過使用者賬戶的雙因素認證。


資料洩露大事件 | 價值數十億美元客戶資料曝光


更糟糕的是,日誌還包含了允許 Voipo 訪問 E911 服務提供商的憑證 —— 這項服務允許急救服務方根據使用者預先設定的位置等資訊來採取行動。


Paine 表示,E911 服務或已被禁用,可能導致這些客戶無法在緊急情況下獲得救助。


在一封電子郵件中,Voipo 執行長 Timothy Dick 證實了本次資料洩露,但補充道:“這只是一臺開發伺服器,並不是我們生產網路的一部分”。


資料洩露大事件 | 價值數十億美元客戶資料曝光


Dick 聲稱該公司將所有系統都放在了防火牆之後,因此可以阻絕外部連線。然而該公司並沒有遵從該州的規定、及時地向當局通報此事。


在此次洩露事件中,值得注意的是洩露的資料庫裡面包含了雙因素認證程式碼。太多人對2FA所提供的安全性過於信任,覺得它是堅不可摧、不可戰勝的。甚至認為2FA能夠阻止高階持續性威脅(APT),打敗網路釣魚和社會工程,甚至阻止其從未設定過的各種威脅。


相反地,攻擊者有很多種瓦解它的方法,具體攻擊方式總結如下:


1.中間人(MitM)攻擊:中間人攻擊者可以偽造一個你信任的,且使用2FA登入的網站,然後誘使你輸入自己的2FA生成的憑證。


2.終端人(Man-in-the-endpoint)攻擊:黑客可以將他們的惡意軟體載入到你的計算機上,他們就可以修改2FA驗證過程中用到的軟體,竊取2FA令牌保護下的機密,或者使用你已經通過的驗證結果來訪問原本無權訪問的內容。


3.妥協的2FA軟體:該流氓軟體會要求智慧卡在下一次插入時,共享其儲存的祕密,或者讓令牌在記憶體中保持活躍狀態的時間延長,允許黑客進行盜取或重放。


4.盜取並重放密碼生成器:如果黑客能夠獲取到原始“種子”值,並知道與時間同步的密碼生成演算法,他們就可以像真實的驗證系統和2FA裝置一樣,準確地生成並匹配相同的單向程式碼。


5.不要求使用2FA:對於允許使用者使用多種登入方式(包含2FA),但又不要求合法使用者必須使用2FA的網站,黑客已經十分擅長利用社會工程手段,黑掉這些站點的技術支援部門,以便重置使用者密碼,或者黑客只是簡單地獲取並回答出密碼重置問題的答案。


6、偽造身份:在許多2FA系統中——尤其是智慧卡——只要能夠修改一個人的ID(即便是暫時的),就可以使用任意2FA裝置,甚至是掛接到其他人,也可以使用它作為目標使用者進行身份驗證。


7.被盜的生物特徵識別:一旦它們被盜就會永遠存在隱患,因為指紋和視網膜並不能夠像密碼一樣高進行修改。


8.共享、整合的身份驗證:使用共享、整合的身份驗證時,通常會要求初始身份驗證過程使用2FA,而後續登入便不再要求(即便正常情況下也是需要的)。


9.社會工程:你正在使用2FA並不意味著你本身不會被誘騙交出2FA。


10.2FA暴力攻擊:如果使用2FA登入的網站或服務沒有設定錯誤登入嘗試控制,那麼攻擊者就可能會反覆嘗試,直至輸入正確的PIN碼。大多數2FA網站確實具備登入鎖定機制,但卻並非所有網站都具備。


11.漏洞實現:2FA登入網站和軟體中存在很多允許繞過2FA的漏洞,而且這些存在漏洞的網站和軟體比例,可能比不存在該漏洞的網站數量多。事實上,存在漏洞的2FA實現事例可能高達數百個之多。


雙因素認證能夠幫助我們有效地抵禦許多黑客攻擊,但即便如此,它也並非完美無缺。只有更全面地瞭解雙因素認證,才能更好地避免潛在風險。


來源:

  • cnBeta.COM
  • 嘶吼RoarTalk


更多資訊:


相關文章