Διαδικτυακές απειλές, Κυβερνοασφάλεια

Διαρροή εκατομμυρίων κωδικών ασφαλείας μετά από εταιρικό σφάλμα έγινε αφορμή συζήτησης γύρω από τη γενική χρήση κλειδιών ασφαλείας και κωδικών SMS 2FA

Γράφει η Λώρα Τριανταφυλλίδη

Μετά από σφάλμα της YX International, έγιναν ευάλωτοι σε υποκλοπή εκατομμύρια κωδικοί ασφαλείας λογαριασμών των Google, WhatsApp, Facebook και TikTok, καθώς και κωδικοί SMS 2FA (έλεγχος ταυτότητας δύο παραγόντων, two-factor authentication) των παραπάνω εφαρμογών.

Η YX International είναι μία τεχνολογική εταιρία με έδρα την Ασία, η οποία είναι υπεύθυνη για την διαδικτυακή δρομολόγηση έως και πέντε εκατομμυρίων τέτοιων κωδικών καθημερινά. Η εταιρία αυτή παράβλεψε σημαντικά προβλήματα ασφαλείας στην βάση δεδομένων της, αφήνοντάς την προσβάσιμη σε οποιονδήποτε την αναζητήσει έχοντας επίγνωση της διεύθυνσης IP της και κατοχή ενός τυπικού προγράμματος περιήγησης ιστού. Έχει σημειωθεί μάλιστα πως τα απόρρητα αυτά στοιχεία δεν ήταν καν κρυμμένα πίσω από κάποιον τοίχο ασφαλείας, αλλά ορατά σε κοινή θέα.

Αυτό διαπίστωσε και ο ερευνητής κυβερνοασφάλειας, Anurag Sen, ο οποίος ανακάλυψε το πρόβλημα κατά τη διάρκεια ενός ελέγχου ρουτίνας. Ο ίδιος δήλωσε πως η μέθοδος αποθήκευσης και επεξεργασίας κωδικών 2FA θα έπρεπε να έχει πολύ υψηλότερη ισχύ προστασίας από αυτήν που έχει στο τωρινό του στάδιο. Ο Jack Moore, παγκόσμιος σύμβουλος κυβερνοασφάλειας στην ESET, πρόσθεσε πως “όποιος ακόμα βασίζεται μόνο σε κωδικούς πρόσβασης ή σε κωδικούς SMS 2FA, ίσως θα έπρεπε να επανεξετάσει την συγκεκριμένη επιλογή”. Μάλιστα, ορισμένοι πραγματογνώμονες ισχυρίζονται πως ακόμα και τα κλειδιά ασφαλείας, που στην θεωρία είναι πιο αποτελεσματικά από τους κωδικούς 2FA, δεν είναι αδιαπέραστα. Για παράδειγμα, είναι συχνά επιρρεπή σε ανθρώπινα λάθη και αποκρυπτογράφηση ή αποκάλυψη από κακόβουλα λογισμικά.  Ο Moore συνέχισε λέγοντας πως δεν υπάρχει λόγος να επιμένει κανείς στην χρήση απαρχαιωμένων μέσων ασφαλείας ενώ ενθάρρυνε την ενημέρωση όλων πάνω σε πιο σύγχρονες και εξελιγμένες μορφές προστασίας λογαριασμών.

Παρόλα αυτά, δεν υφίσταται αιτία πανικού, καθώς προς το παρόν δεν υπάρχουν αποδείξεις πως οι εκτεθειμένοι κωδικοί κλάπηκαν ή  χρησιμοποιήθηκαν με κακόβουλες προθέσεις. Επιπλέον, ένας μεγάλος αριθμός ειδικών αμφιβάλει για την πιθανότητα αυτού του ενδεχομένου, τουλάχιστον όσον αφορά τους  κωδικούς 2FA. O “μειωμένος χρόνος ζωής” τους κάνει την χρήση τους με σκοπό την παραβίαση σχεδόν αδύνατη χωρίς την ζωντανή  παρακολούθηση του κατόχου του λογαριασμού και την άμεση δράση του θύτη, πόσο μάλλον όταν βρίσκονται παρωχημένοι σε μία βάση δεδομένων. Ο Trevor Hilligoss, αντιπρόεδρος της SpyCloud Labs, πρόσθεσε πως τέτοιοι κωδικοί είναι λιγότερο ευάλωτοι σε “παραδοσιακές” απειλές, χωρίς να τους παρουσιάζει όμως ως την ιδανική λύση στο πρόβλημα της έλλειψης ιδιωτηκότητας λογαριασμών.

Ο Hilligross τόνισε πως το ρίσκο διαρροής δεδομένων ασφαλείας μέσω cookies είναι πάντα παρόν και θα πρέπει να λαμβάνεται υπόψη από τον καθένα μας, καθώς τα cookies συχνά χρησιμοποιούνται από άτομα και οργανώσεις εις βάρος των χρηστών. Τα session cookies  (cookies που διαρκούν μόνο για μία συνεδρία περιήγησης στον ιστότοπο) ιδιαιτέρως μπορεί να αποτελέσουν μία κρυφή παγίδα υποκλοπής στοιχείων αφού, ακόμα και με τον παραπάνω προβληματισμό έξω από την εξίσωση, η αποθήκευση κωδικών στην συσκευή σε περίπτωση παραβίασής αυτής μπορεί να αποδειχτεί μοιραία. Τέλος, ο Hilligross συμβουλεύει τους χρήστες να είναι ιδιαίτερα προσεκτικοί στην αποδοχή των cookies και επικροτεί την έρευνα του περιεχομένου της συναίνεσης αυτής προτού επικυρωθεί.

Σε γενικές γραμμές είναι απαραίτητη η προσοχή, όχι όμως ο φόβος. Όσο λειτουργική και να είναι μία μέθοδος προστασίας υπάρχει πάντα δυνατότητα απόκλισης από τον κανόνα, πολλές φορές και για λόγους για τους οποίους δεν ευθύνονται καν οι ίδιοι οι χρήστες, όπως έγινε και στην περίπτωση της συγκεκριμένης διαρροής. Η χρήση παραδοσιακών κωδικών ασφαλείας και κωδικών 2FA από μόνη της, ενώ δεν είναι εγγενώς επικίνδυνη, δεν είναι τόσο αποτελεσματική όσο θα ήταν μαζί με την σχολαστική αναβάθμιση της σύμφωνα με τα συνεχώς εξελισσόμενα μέτρα ασφαλείας ή με κάποιο έγκριτο βοήθημα. Είναι σημαντικό να υπάρχει διαρκής ενημέρωση, αλλά και έλεγχος πάνω στον τομέα αυτόν, όχι μόνο από τους χρήστες αλλά και από τις υπεύθυνες εταιρίες.

Πηγές:

https://www.ertnews.gr/eidiseis/epistimi/technologia/ston-aera-ekatommyria-kodikoi-google-whatsapp-facebook-tiktok-eyalota-kai-ta-minymata-sms-elegxou-taytotitas-lene-eidikoi/

https://arynews.tv/millions-of-google-whatsapp-facebook-2fa-security-codes-leaked-online/

https://www.forbes.com/sites/daveywinder/2024/03/06/millions-of-google-whatsapp-facebook-2fa-security-codes-leak-online/