
Il ricercatore Sébastien Kaul ha trovato attraverso Shodan un database contenente oltre 26 milioni (ma potrebbero essere molti di più) di SMS gestiti dall’azienda californiana Voxox.
Il database era aperto e, grazie al plug-in Kibana, facilmente navigabile. Al suo interno un archivio di milioni di SMS indirizzati ad altrettanti abbonati. Chi ha visto il database (ora rimosso) ha trovato:
- password per servizi web inviate in chiaro
- codici per l’autenticazione multi-fattore, fra cui quelli per account Google
- notifiche di spedizione pacchi, con link per accedere al dettaglio
- messaggi di verifica del numero telefonico per diversi servizi mobili
- codici per il reset della password di diversi account Microsoft
- codici di verifica ID per i servizi di Huawei
- molti promemoria da parte di cliniche e ospedali per appuntamenti medici
Anche senza prendere in considerazione eventuali attacchi man-in-the-middle contro l’autenticazione multi-fattore (difficili da eseguire perché vi è la necessità di avere accesso al database mentre avviene l’autenticazione), il leak di informazioni personali, sanitarie, di password ecc. è imponente.
Vista l’area geografica sembra che siano stati coinvolti principalmente utenti negli USA e in qualche Paese del Sud America.
L’azienda ha dichiarato che seguirà le procedure standard che seguono un data breach e che ne sta ancora valutando l’impatto.