去年 11 月，一家名为 Voxox 的电信企业不慎泄露了一个包含数百万条短信的数据库，其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前，其安全漏洞已向攻击者敞开数月。由于服务器未受保护，事件导致数百万份呼叫日志和文本消息被泄露。

令人惊恐的是，时隔两月，另一家名叫 Voipo 通信提供商，又泄露了价值数十亿美元的客户数据。

Voipo 是一家总部位于加利福尼亚州 Lake Forest 的互联网语音服务提供商，提供面向住宅和商用的电话服务，并且支持云端控制。

上周，安全研究员 Justin Paine 找到了暴露的数据库，并与该公司的首席技术官取得了联系。然而在 Paine 通报之前，Voipo 的数据库就已经脱机了。

据悉，该公司的后端路由，可用于为其用户调度和处理文本消息。

但由于其中一个后端的 ElasticSearch 数据库未受到密码保护，因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。

这是迄今为止最大的数据泄露事件之一 ，到目前为止， 总计接近700万个呼叫日志，600万条短信以及包含未加密密码的其他内部文档（如果使用这些密码）可能使攻击者能够深入访问公司的系统。

若被攻击者拿到这些凭证，将使之获得对企业系统的深度访问权限。外媒在审查了部分数据后发现，某些日志中的网址，竟直接指向客户的登录页面。

Paine 在博客文章中指出，数据库自 2018 年 6 月开始被曝光，并包含了可追溯至 2015 年 5 月的电话和短信日志。

每天更新的日志，已经更新到 1 月 8 号 —— 数据库于当日正式脱机，但许多文件包含了非常详细的呼叫纪录、呼叫方、日期、时间等机密信息。

尽管呼叫日志中的一些号码被打码，但短信日志里的收件人和发件人信息（以及邮件正文），都是完全裸露的。

与去年的 Voxox 漏洞类似，任何截获的包含双因素代码或密码重置链接的短信，都使得攻击者有机会绕过用户账户的双因素认证。

更糟糕的是，日志还包含了允许 Voipo 访问 E911 服务提供商的凭证 —— 这项服务允许急救服务方根据用户预先设置的位置等信息来采取行动。

Paine 表示，E911 服务或已被禁用，可能导致这些客户无法在紧急情况下获得救助。

在一封电子邮件中，Voipo 首席执行官 Timothy Dick 证实了本次数据泄露，但补充道：“这只是一台开发服务器，并不是我们生产网络的一部分”。

Dick 声称该公司将所有系统都放在了防火墙之后，因此可以阻绝外部连接。然而该公司并没有遵从该州的规定、及时地向当局通报此事。

在此次泄露事件中，值得注意的是泄露的数据库里面包含了双因素认证代码。太多人对2FA所提供的安全性过于信任，觉得它是坚不可摧、不可战胜的。甚至认为2FA能够阻止高级持续性威胁（APT），打败网络钓鱼和社会工程，甚至阻止其从未设定过的各种威胁。

相反地，攻击者有很多种瓦解它的方法，具体攻击方式总结如下：

1. 中间人（MitM）攻击：中间人攻击者可以伪造一个你信任的，且使用2FA登录的网站，然后诱使你输入自己的2FA生成的凭证。

2. 终端人（Man-in-the-endpoint）攻击：黑客可以将他们的恶意软件加载到你的计算机上，他们就可以修改2FA验证过程中用到的软件，窃取2FA令牌保护下的机密，或者使用你已经通过的验证结果来访问原本无权访问的内容。

3. 妥协的2FA软件：该流氓软件会要求智能卡在下一次插入时，共享其存储的秘密，或者让令牌在内存中保持活跃状态的时间延长，允许黑客进行盗取或重放。

4. 盗取并重放密码生成器：如果黑客能够获取到原始“种子”值，并知道与时间同步的密码生成算法，他们就可以像真实的验证系统和2FA设备一样，准确地生成并匹配相同的单向代码。

5. 不要求使用2FA：对于允许用户使用多种登录方式（包含2FA），但又不要求合法用户必须使用2FA的网站，黑客已经十分擅长利用社会工程手段，黑掉这些站点的技术支持部门，以便重置用户密码，或者黑客只是简单地获取并回答出密码重置问题的答案。

6、伪造身份：在许多2FA系统中——尤其是智能卡——只要能够修改一个人的ID（即便是暂时的），就可以使用任意2FA设备，甚至是挂接到其他人，也可以使用它作为目标用户进行身份验证。

7. 被盗的生物特征识别：一旦它们被盗就会永远存在隐患，因为指纹和视网膜并不能够像密码一样高进行修改。

8. 共享、集成的身份验证：使用共享、集成的身份验证时，通常会要求初始身份验证过程使用2FA，而后续登录便不再要求（即便正常情况下也是需要的）。

9. 社会工程：你正在使用2FA并不意味着你本身不会被诱骗交出2FA。

10. 2FA暴力攻击：如果使用2FA登录的网站或服务没有设置错误登录尝试控制，那么攻击者就可能会反复尝试，直至输入正确的PIN码。大多数2FA网站确实具备登录锁定机制，但却并非所有网站都具备。

11. 漏洞实现： 2FA登录网站和软件中存在很多允许绕过2FA的漏洞，而且这些存在漏洞的网站和软件比例，可能比不存在该漏洞的网站数量多。事实上，存在漏洞的2FA实现事例可能高达数百个之多。

双因素认证能够帮助我们有效地抵御许多黑客攻击，但即便如此，它也并非完美无缺。只有更全面地了解双因素认证，才能更好地避免潜在风险。

来源：

• cnBeta.COM

• 嘶吼RoarTalk

往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com