Trusted

Hacker onthult lek van twee-factor authenticatiecodes

3 min
Bijgewerkt door Ali Martinez

In het kort

  • Een researcher op het gebied van security heeft onlangs onthuld dat een database met twee-factor sms-authenticatiecodes voor grote bedrijven openbaar is gemaakt.
  • De data had betrekking op een dienst die wordt gebruikt door Google, Meta en TikTok om zo snel mogelijk sms'jes met verificatiecodes naar gebruikers te sturen.
  • Deze twee-factor-misdrijven hebben de laatste tijd vele vormen aangenomen, van het hacken van iemands iCloud tot het stelen van hun telefoonnummer tot het omzeilen van encryptie.

Een researcher op het gebied van security heeft een onbeveiligde database ontdekt die de toegang regelt tot diensten van enkele van ‘s werelds grootste techbedrijven. De database behoort toe aan een SMS-router die verantwoordelijk is voor het verzenden van twee-factor authenticatiecodes (2FA) naar gebruikers van Meta, Google en mogelijk cryptobedrijven.

De researcher, Anurag Sen, ontdekte dat de YX International database van het bedrijf zonder wachtwoord op het openbare internet stond. Iedereen die het openbare internetprotocol (IP)-adres kende, kon de data bekijken.

Gebruikers getroffen door twee-factor authenticatie lek

YX International stuurt security codes naar mensen die inloggen op platforms van Meta, Google en TikTok. Het bedrijf zorgt ervoor dat de berichten van gebruikers snel worden doorgestuurd via mobiele netwerken over de hele wereld. Onder de berichten die het bedrijf verstuurt, zijn security codes die deel uitmaken van een twee-factor authenticatiesysteem dat veel grote bedrijven gebruiken om gebruikersaccounts te beschermen.

Sommige serviceproviders, zoals Google, kunnen een sms-code sturen om de authenticiteit van een gebruiker te verifiëren na het invoeren van een wachtwoord. Andere verificatieopties zijn het genereren van een code via een authenticatie-app als aanvulling op een wachtwoord.

Lees meer: 15 Meest voorkomende cryptozwendel om voor uit te kijken

google 2fa sms
Red Box toont zwakke punt van SMS 2FA Authenticatie | Bron: All Things Auth

Hoewel twee-factor authenticatie de security probeert te verbeteren, is het geen wondermiddel. Daarom waarschuwt cryptobeurs Coinbase dat 2FA een minimale securitymaatregel is, maar het is niet waterdicht. Hackers kunnen nog steeds een manier vinden om geld te stelen uit crypto wallets.

“Hoewel 2FA de security probeert te verbeteren, is het niet waterdicht. Hackers die de authenticatiefactoren bemachtigen, kunnen nog steeds ongeautoriseerde toegang tot accounts krijgen. Veel voorkomende manieren om dit te doen zijn phishingaanvallen, accountherstelprocedures en malware. Hackers kunnen ook tekstberichten onderscheppen die bij 2FA worden gebruikt,” aldus Coinbase.

Criminelen gebruiken deze methoden om 2FA te omzeilen

Vorig jaar doken er meldingen op van criminelen die 2FA op Apple apparaten omzeilden. Een hacker kon toegang krijgen tot Apple’s cloudplatform, iCloud, en het telefoonnummer van een gebruiker vervangen door zijn eigen nummer. De regeling bracht de fondsen in crypto wallet apps op Apple apparaten in gevaar omdat sommige applicaties verificatiecodes naar gecompromitteerde telefoonnummers konden sturen.

Criminelen kunnen ook SIM-swaps gebruiken om crypto-zwendel met twee-factor authenticatie uit te voeren. Bij deze aanval overtuigen criminelen mobiele operators zoals AT&T of Verizon om een telefoonnummer van de rechtmatige eigenaar over te dragen aan de fraudeur. Daarna heeft de crimineel nog maar één stukje informatie nodig om toegang te krijgen tot een zelfbehoudende Wallet app van de echte eigenaar van het telefoonnummer.

Gezien de opkomst van kwantumtechnologie heeft Apple onlangs de security verbeterd van zijn Secure Enclave hardware-apparaat dat in iPhones is ingebouwd. Het post-kwantum cryptografieschema maakt nieuwe sleutels aan telkens wanneer een kwaadwillende een oude sleutel in gevaar brengt.

Deze functie zou ontwikkelaars van cryptowallets kunnen helpen om de cryptobeveiliging van hun klanten te verbeteren door kritieke informatie op te slaan in de Secure Enclave. Tot nu toe heeft ten minste één leverancier de Secure Enclave al gebruikt om toegang te verlenen tot hun wallet app.

Lees meer: Wat is een Private Key in Crypto?

BeInCrypto heeft contact opgenomen met Binance, ‘s werelds grootste exchange voor cryptocurrency, en Coinbase voor commentaar over de vraag of het lek in de data van XY International van invloed was op hun gebruikers. Geen van beide bedrijven had gereageerd bij het ter perse gaan.

🎄Beste crypto platforms in Nederland | December 2024
eToro eToro Ontdek
Wirex Wirex Ontdek
YouHodler YouHodler Ontdek
Coinbase Coinbase Ontdek
Margex Margex Ontdek
🎄Beste crypto platforms in Nederland | December 2024
eToro eToro Ontdek
Wirex Wirex Ontdek
YouHodler YouHodler Ontdek
Coinbase Coinbase Ontdek
Margex Margex Ontdek
🎄Beste crypto platforms in Nederland | December 2024

Disclaimer

Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.

david-thomas.jpg
David Thomas studeerde af aan de Universiteit van Kwa-Zulu Natal in Durban, Zuid-Afrika, met een honorsgraad in elektrotechniek. Hij werkte acht jaar als ingenieur en ontwikkelde software voor industriële processen bij de Zuid-Afrikaanse automatiseringsspecialist Autotronix (Pty) Ltd., controlesystemen voor mining bij AngloGold Ashanti en consumentenproducten bij Inhep Digital Security, een binnenlands beveiligingsbedrijf dat volledig in handen is van het Zweedse conglomeraat Assa...
Lees de volledige biografie