SMS zu bekommen und zu verschicken gehört für viele fest zum Alltag dazu. Seien es Freunde, Familie oder Bestätigungen für Onlinekonten – es gibt viele Gründe für die Textnachricht. Wie sicher das ist, fragt sich jedoch kaum jemand.
Sébastian Kaul, ein Sicherheitsforscher aus Deutschland, hat diese Frage vor kurzem mehr oder weniger beantwortet. Er veröffentlichte, dass die Voxox-Datenbank Millionen an SMS-Datensätzen für jeden zugänglich im Netz hatte.
Keine erwähnenswerten Sicherheitsmaßnahmen
Voxox ist eine in Kalifornien basierte Kommunikationsfirma. Sie fungiert unter anderem als Gateway zwischen Firmen, die SMS in einer Art Kurzcode verschicken, und den Empfängern, die dann die finale Nachricht als richtige Kurznachricht erhalten.
Die Datenbank selbst fand Kaul über Shodan, einer Suchmaschine in der öffentliche Server und Datenbanken aufgelistet sind. Dass das ein gefundenes Fressen für solche Leaks ist, dürfte klar sein.
Als er die Datenbank gefunden hatte war es dann ganz einfach, denn es gab wohl keine echten Hindernisse. Vielmehr konnte er dank der installierten Elasticsearch und dem Kibana-Frontend ganz entspannt die Inhalte durchgehen und durchsuchen. Empfänger, Telefonnummern, Nachrichten, die Kunden/Firmen, die die Nachrichten versandt hatten – es gab nichts was er nicht einsehen konnte. Insgesamt waren bis zu dem Zeitpunkt, als Voxox die Datenbank vom Netz nahm, um die 26 Millionen Einträge davon betroffen.
Viele der Nachrichten beinhalteten Passwörter, Zwei-Faktor-Authentifizierungscodes und ähnliches. Wenn man bedenkt, dass man bei einigen Firmen nur die Telefonnummer zum Zurücksetzen seines Accounts braucht, ist das Missbrauchspotential nicht gerade gering.
Meiden Sie 2FA per SMS wenn möglich
Während die Zwei-Faktor- Authentifizierung (2FA) via SMS natürlich besser als nichts ist, stellt es auch die schwächste Option dar. Vor einiger Zeit war es bei Reddit, dessen Angestellte die gleiche Art der Authentifizierung nutzen, zu einem großen Datendiebstahl gekommen.
Das obige Datenbank-Desaster ist nur ein weiteres Beispiel, warum man auf ein sichereres Verfahren wechseln sollte, wenn man dazu die Möglichkeit hat.
