Milhões de códigos de segurança 2FA do Google, WhatsApp, Facebook e TikTok foram vazados a partir de um banco de dados da YX International. De acordo com as investigações da Anurag Sen, a falha contou com registros mensais que mostram que durante o mês de julho de 2023, o banco de dados estava desprotegido.
Diante disso, qualquer pessoa que soubesse o endereço IP poderia acessar o banco de dados com apenas um navegador da Web. Na ocasião, foi o site TechCrunch a informar que a YX International – uma empresa asiática que fornece roteamento de 5 milhões de mensagens de texto SMS por dia – havia sido vítima do vazamento de links de redefinição de senha e códigos 2FA para as redes sociais, além de contas de e-mail e senhas internas da empresa.
Em termos simples, o roteamento de SMS é o que ajuda a enviar mensagens de texto para o destino correto usando redes de celular e provedores regionais. É assim que um usuário recebe um código de segurança por SMS ou um link para fazer login em uma de suas contas ou serviços na Internet.
“Muitas empresas estão transferindo seus servidores de produção para a nuvem, mas, infelizmente, eles não têm autenticação e criptografia básicas”, disse Sen à Forbes. “O banco de dados exposto mostra que o método de armazenamento e processamento da 2FA deve ser muito mais robusto e seguro”, acrescentou.
Risco aos usuários?
Apesar de um código 2FA ter uma vida útil curta, com expiração rápida, um cibercriminoso pode tirar vantagem monitorando o banco de dados e as ações de uma vítima ou alvo.
Jake Moore, especialista em cibersegurança da ESET, destacou: “As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras”.
Embora os usuários não devam ficar muito preocupados com a existência de códigos 2FA no banco de dados vazado, isso deve ser um convite para explorar outras medidas de segurança disponíveis. Como explica Moore: “As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas”.
Por fim, a YX International assegurou que a vulnerabilidade foi corrigida. A ESET compartilha alguns aspectos-chave que devem ser considerados após receber uma notificação sobre uma violação de dados. Primeiro, leia os detalhes do incidente até que façam sentido e compreenda o que foi roubado e o que isso implica. Também vale a pena guardar o e-mail com a notificação caso precise comprovar no futuro que a violação foi responsabilidade de terceiros.
Uma campanha de phishing pode tentar chamar a atenção dos usuários alegando que seus dados foram envolvidos em uma violação para clicarem em um link malicioso ou divulguem informações pessoais. Portanto, a primeira coisa a fazer diante de uma mensagem desse tipo é entrar em contato diretamente com a organização ou serviço que sofreu a violação, seja pelo site oficial ou pelas redes sociais. Se for uma fraude, denuncie e/ou exclua a mensagem.
É provável que os atores maliciosos responsáveis pela violação tentem vender seus dados pessoais em fóruns clandestinos na dark web. Por isso, é importante estar atento a qualquer e-mail ou mensagem com aparência legítima que chegue após uma violação de dados. Mesmo que suas credenciais de login não tenham sido comprometidas na violação, atualizar as senhas pode ser uma boa ideia para garantir paz de espírito. E também trocar as senhas de qualquer outra conta em que você use a mesma chave de login.
Se a notificação alertar que as informações de login foram roubadas e forem usadas as mesmas para outras contas, altere-as imediatamente. Também vale a pena revisar as contas bancárias em busca de qualquer atividade suspeita. Diante da notificação de uma violação grave que envolve informações financeiras, é evidente que se deve informar imediatamente ao banco, cancelar ou congelar os cartões e trocar qualquer senha.
Se as informações fornecidas pela organização que sofreu a violação forem muito vagas, é possível investigar para descobrir quais informações pessoais foram expostas. Sites como Have I Been Pwned oferecem esse tipo de serviço gratuitamente. Além disso, é possível buscar algum tipo de compensação se a violação causou angústia emocional ou financeira. Também é possível entrar em contato com o regulador de privacidade nacional para entender seus direitos e/ou consultar um especialista legal.
