Una empresa de tecnología que enruta millones de mensajes de texto SMS en todo el mundo ha asegurado una base de datos expuesta que estaba divulgando códigos de seguridad únicos que pueden haber otorgado a los usuarios acceso a sus cuentas de Facebook, Google y TikTok.
La empresa asiática de tecnología e Internet YX International fabrica equipos de redes celulares y brinda servicios de enrutamiento de mensajes de texto SMS. El enrutamiento de SMS ayuda a enviar mensajes de texto de tiempo crítico a su destino adecuado a través de varias redes celulares y proveedores regionales, como un usuario que recibe un código de seguridad SMS o un enlace para iniciar sesión en servicios en línea.
YX International afirma enviar cinco millones de mensajes de texto SMS diarios.
Pero la compañía de tecnología dejó una de sus bases de datos internas expuesta a Internet sin contraseña, lo que permite a cualquiera acceder a los datos confidenciales que contiene utilizando solo un navegador web, solo con el conocimiento de la dirección IP pública de la base de datos.
Anurag Sen, un investigador de seguridad de buena fe y experto en descubrir conjuntos de datos confidenciales pero expuestos inadvertidamente que se filtran a Internet, encontró la base de datos. Sen dijo que no estaba claro a quién pertenecía la base de datos ni a quién informar la filtración, por lo que Sen compartió detalles de la base de datos expuesta con TechCrunch para ayudar a identificar a su propietario e informar la falla de seguridad.
Sen dijo a TechCrunch que la base de datos expuesta incluía el contenido de mensajes de texto enviados a los usuarios, incluidos códigos de acceso de un solo uso y enlaces de restablecimiento de contraseña para algunas de las empresas tecnológicas y en línea más grandes del mundo, incluidas Facebook y WhatsApp, Google, TikTok y otras.
La base de datos tenía registros mensuales que se remontaban a julio de 2023 y su tamaño crecía minuto a minuto.
La autenticación de dos factores (2FA) ofrece mayor protección contra los secuestros de cuentas en línea que se basan en el robo de contraseñas mediante el envío de un código adicional a un dispositivo confiable, como el teléfono de alguien. Pero los códigos enviados a través de mensajes de texto SMS no son tan seguros como formas más potentes de 2FA, como un generador de códigos basado en una aplicación, ya que los mensajes de texto SMS son propensos a ser interceptados o expuestos (o, en este caso, a filtrarse desde una base de datos a la web abierta). .
TechCrunch encontró en la base de datos expuesta conjuntos de direcciones de correo electrónico internas y contraseñas correspondientes asociadas con YX International, y alertó a la empresa sobre la base de datos filtrada. La base de datos se desconectó poco tiempo después. Un representante de YX International, que no proporcionó su nombre, respondió poco después de decir que la empresa “selló esta vulnerabilidad”.
Cuando TechCrunch le preguntó, el representante de YX International dijo que el servidor no almacenaba registros de acceso, lo que habría determinado si alguien que no fuera Sen descubriera la base de datos expuesta y su contenido.
YX International no dijo durante cuánto tiempo estuvo expuesta la base de datos.
Cuando se contactó por correo electrónico, un portavoz de Meta no hizo comentarios. Los portavoces de Google y TikTok no respondieron a las solicitudes de comentarios.