image

CCC: sms-provider lekte berichten met 2FA-codes en one-click loginlinks

donderdag 11 juli 2024, 10:51 door Redactie, 10 reacties

De Britse sms-provider IdentifyMobile heeft bijna tweehonderd miljoen sms-berichten gelekt, waaronder honderdduizenden met tweefactorauthenticatie (2FA) codes en one-click loginlinks, zo stelt de Duitse hackerclub CCC. Meer dan tweehonderd bedrijven maken gebruik van de diensten van IdentifyMobile, waaronder Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx en DHL.

Bijna tweehonderd miljoen sms-berichten die IdentifyMobile voor deze bedrijven sinds augustus vorig jaar verwerkte waren via een onbeveiligde Amazon S3-server voor iedereen op internet toegankelijk, aldus ZEIT Online dat de aangetroffen data mocht bekijken. De enige vereiste was het raden van het juiste subdomein. Het ging om meer dan zes terabyte aan data, waaronder de inhoud van sms-berichten. Onderzoekers van de CCC konden de berichten in real-time zien. Zo was het bijvoorbeeld mogelijk om WhatsApp-nummers te kapen.

Om misbruik van de verstuurde 2FA-codes te maken zou een aanvaller ook over het wachtwoord van een slachtoffer moeten beschikken, maar in de berichten werden ook grote hoeveelheden one-click loginlinks aangetroffen. Zoals de naam al doet vermoeden is het mogelijk om hiermee op een account in te loggen. De CCC merkt op dat het de gegevens niet heeft bewaard, maar stelt dat het niet kan garanderen dat de data niet door anderen is gevonden. De hackerclub adviseert dan ook het gebruik van een authenticator-app of hardware token, die los van een mobiel netwerk werken.

Reacties (10)
11-07-2024, 11:48 door Anoniem
En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
11-07-2024, 13:01 door Anoniem
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
100% mee eens!!!
11-07-2024, 13:03 door Anoniem
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
En hoe ga je inloggen met DigiD met alleen een 2FA-code via SMS maar zonder inlognaam en wachtwoord?
11-07-2024, 13:10 door Anoniem
Door Anoniem:
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
En hoe ga je inloggen met DigiD met alleen een 2FA-code via SMS maar zonder inlognaam en wachtwoord?
Er zijn zat methodes waarop mensen wachtwoorden onderscheppen, of mensen die slechte wachtwoorden (her)gebruiken, waarom zou men anders uberhaubt 2FA gebruiken als het overbodig was?
TOTP is juist heel veilig aangezien men het offline kan gebruiken of via een Yubikey.
11-07-2024, 15:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
En hoe ga je inloggen met DigiD met alleen een 2FA-code via SMS maar zonder inlognaam en wachtwoord?
Er zijn zat methodes waarop mensen wachtwoorden onderscheppen, of mensen die slechte wachtwoorden (her)gebruiken, waarom zou men anders uberhaubt 2FA gebruiken als het overbodig was?
TOTP is juist heel veilig aangezien men het offline kan gebruiken of via een Yubikey.

Ja SMS is niet meer echt veilig, maar de gegevens die nu gelekt zijn, zijn maar een momentopname & die 2FA codes zijn allang niet meer geldig. TOTP is inderdaad een goede beveiligings laag, maar YubiKeys zijn naar mijn mening uit den boze; niet gebruikersvriendelijk & kunnen gemakkelijk vergeten worden/kwijtraken, om nog maar te zwijgen over de administratieve last, die het veroorzaakt bij het beheer-personeel.
11-07-2024, 18:39 door Anoniem
Door Anoniem:
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
En hoe ga je inloggen met DigiD met alleen een 2FA-code via SMS maar zonder inlognaam en wachtwoord?


Je kunt op Digid ook inloggen met je ID chip als 2FA
11-07-2024, 18:43 door Anoniem
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.


Er bestaat al een betere oplossing:

https://www.digid.nl/en/login-methods/identity-document
11-07-2024, 19:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En DigiD maar halsstarrig blijven weigeren om TOTP te implementeren waardoor mensen voor 2FA onnodig worden blootgesteld aan alle risico's die aan SMS kleven: niet versleuteld, veel partijen in de keten (telecom bedrijven, SMS-boeren, onderaannemers en hosting partijen) die SMSjes kunnen lekken of te lang bewaren.

Het kul argument: SMS en TOTP zijn beide niveau "midden", dus even veilig en dus hoeven we niets te doen om de veiligheid op niveau midden te verbeteren. Prutsers.
En hoe ga je inloggen met DigiD met alleen een 2FA-code via SMS maar zonder inlognaam en wachtwoord?
Er zijn zat methodes waarop mensen wachtwoorden onderscheppen, of mensen die slechte wachtwoorden (her)gebruiken, waarom zou men anders uberhaubt 2FA gebruiken als het overbodig was?
TOTP is juist heel veilig aangezien men het offline kan gebruiken of via een Yubikey.

Ja SMS is niet meer echt veilig, maar de gegevens die nu gelekt zijn, zijn maar een momentopname & die 2FA codes zijn allang niet meer geldig. TOTP is inderdaad een goede beveiligings laag, maar YubiKeys zijn naar mijn mening uit den boze; niet gebruikersvriendelijk & kunnen gemakkelijk vergeten worden/kwijtraken, om nog maar te zwijgen over de administratieve last, die het veroorzaakt bij het beheer-personeel.


Gewoon deze gebruiken voor digid


https://www.bol.com/nl/nl/p/nfc-kaartlezer-voor-digid-veilig-inloggen-op-digid-met-uw-identeitskaart/9300000035836093/
11-07-2024, 22:50 door johanw
DigiD heeft een app, maar dat schijnt voor velen hier die in de jaren 1990-2000 zijn blijven hangen taboe te zijn. Die wensen iets op hun desktop met buizenmonitor te hebben.
12-07-2024, 09:30 door Anoniem
Door johanw: DigiD heeft een app [...]
Helaas is daar geen versie van verkrijgbaar die werkt onder het besturingssysteem dat ik gebruik terwijl de laatste versie van bijvoorbeeld webbrowser Google Chrome daar wel op werkt...

Ik denk dat het tijd wordt dat instanties als de overheid en banken met hun tijd meegaan en applicaties gaan leveren die op meerdere platformen werken en niet alleen op iOS en Android...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.