Empresa tecnológica expone códigos de seguridad 2FA de usuarios en internet

YX International, una empresa tecnológica y de internet asiática especializada en la fabricación de equipos de red celular y servicios de enrutamiento de mensajes SMS, aseguró una base de datos que estaba expuesta en internet. Esta base de datos contenía códigos de seguridad 2FA de un solo uso, que podrían haber permitido el acceso a cuentas de usuarios en plataformas como Facebook, Google y TikTok. La compañía, que envía 5 millones de mensajes SMS diariamente, dejó esta base de datos interna accesible en internet sin contraseña, permitiendo a cualquier persona acceder a los datos sensibles solo con conocer la dirección IP pública de la base de datos.

El investigador de seguridad de buena fe, Anurag Sen, descubrió la base de datos expuesta. Sen, experto en encontrar conjuntos de datos sensibles inadvertidamente expuestos en internet, compartió detalles de la base de datos con TechCrunch para ayudar a identificar a su propietario y reportar la brecha de seguridad. La base de datos incluía el contenido de mensajes de texto enviados a usuarios, abarcando códigos de paso únicos y enlaces para restablecer contraseñas de importantes compañías tecnológicas y de servicios en línea.

La autenticación de dos factores (2FA) proporciona una protección superior contra el secuestro de cuentas en línea que dependen del robo de contraseñas al enviar un código adicional a un dispositivo de confianza. Sin embargo, los códigos enviados a través de mensajes de texto SMS no son tan seguros como formas más fuertes de 2FA, ya que están sujetos a interceptación o exposición, como en este caso, filtrándose desde una base de datos a la web abierta.

Tras ser alertada por TechCrunch, YX International respondió rápidamente, asegurando que la vulnerabilidad había sido "sellada". La empresa no pudo determinar cuánto tiempo estuvo expuesta la base de datos ni si alguien, aparte de Sen, accedió a su contenido.

Ante un pedido de declaraciones por parte del medio estadounidense, representantes de Meta, Google y TikTok no dieron comentarios sobre este incidente de seguridad. Este evento pone en evidencia el uso de malas prácticas en los métodos de autenticación más seguros, como también sugiere la necesidad de proteger adecuadamente las bases de datos que contienen información sensible.