{"id":211958,"date":"2018-11-21T00:10:00","date_gmt":"2018-11-20T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211958"},"modified":"2018-12-19T12:33:33","modified_gmt":"2018-12-19T11:33:33","slug":"millionen-sms-von-voxox-ffentlich-einsehbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/21\/millionen-sms-von-voxox-ffentlich-einsehbar\/","title":{"rendered":"Millionen SMS von Voxox &ouml;ffentlich einsehbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Der n\u00e4chste Datenskandal: Sicherheitsforscher sind auf eine Datenbank des US-Anbieters Voxox mit Millionen SMS-Nachrichten gesto\u00dfen. Diese liegen im Klartext vor, was nicht nur Probleme in Punkto Privatsph\u00e4re bringt. Auch Sachen wie Zweifaktor-Authentifizierung sind durch diesen Vorfall quasi als kompromittiert entzaubert.<\/p>\n<p><!--more--><\/p>\n<p>Aufgedeckt hat die Geschichte der Berliner Sicherheitsforscher S\u00e9bastien Kaul, der \u00fcber die Suchmaschine Shodan auf einen ungesicherten Server von Voxox stie\u00df. Auf dem ungesch\u00fctzten Server lagerten 26 Millionen SMS-Nachrichten im Klartext. Techcrunch hat die Informationen in <a href=\"https:\/\/techcrunch.com\/2018\/11\/15\/millions-sms-text-messages-leaked-two-factor-codes\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ver\u00f6ffentlicht, ein deutschsprachiger Beitrag findet sich <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Vovox-Millionen-SMS-lagen-offen-im-Netz-4225824.html\" target=\"_blank\" rel=\"noopener\">bei heise.de<\/a>.<\/p>\n<p>Das in San Diego, Kalifornien, angesiedelte Unternehmen Voxox wickelt Kommunikationsdienste wie SMS-Nachrichten f\u00fcr Unternehmen in 180 L\u00e4ndern ab.\u00a0 Entsprechend brisant ist der Fund auf dem nicht durch ein Passwort gesch\u00fctzten Server, wie nachfolgender Screenshot einer solchen SMS zeigt.<\/p>\n<p><a href=\"https:\/\/techcrunch.com\/wp-content\/uploads\/2018\/11\/voxox-pic.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/techcrunch.com\/wp-content\/uploads\/2018\/11\/voxox-pic.png\" alt=\"\" width=\"609\" height=\"419\" \/><\/a><br \/>\n(Beispiel einer SMS, Quelle: Techcrunch.com)<\/p>\n<p>Dort wird ein Reset-Code f\u00fcr ein Microsoft-Konto im Klartext \u00fcbertragen. Die Datenbank lie\u00df sich mit dem installierten Amazon Elasticsearch und dem Kibana-Frontend durchsuchen. So konnten die leicht lesbaren Daten nach Namen, den Telefonnummern des Empf\u00e4ngers und dem Inhalt der Textnachrichten selbst durchsucht werden. Eine kursorische \u00dcberpr\u00fcfung f\u00f6rderte dann auch Brisantes zutage.<\/p>\n<ul>\n<li>Techcrunch hat in einer SMS ein Passwort gefunden, das von der chinesischen Dating-App Badoo im Klartext an eine Telefonnummer in Los Angeles geschickt wurde<\/li>\n<li>Mehrere Booking.com-Partner erhielten ihre sechsstelligen Zweifaktor-Authentifizierungs-Codes per SMS, um sich in das Extranet des Unternehmens einzuloggen<\/li>\n<li>Fidelity Investments schickte auch sechsstellige Sicherheitscodes an eine Telefonnummer in Chicago<\/li>\n<li>Viele Nachrichten enthielten zwei Faktoren Verifizierungscodes f\u00fcr Google-Konten in Lateinamerika<\/li>\n<li>Eine in Mountain View, Kalifornien, gegr\u00fcndete Kreditgenossenschaft, die First Tech Federal Credit Union, schickte auch ein tempor\u00e4res Bankkennwort im Klartext an eine Telefonnummer in Nebraska<\/li>\n<li>Gefunden wurde auch eine von Amazon gesendete Versandbenachrichtigung mit einem Link zur Sendungsverfolgungsseite von Amazon mit der UPS-Verfolgungsnummer<\/li>\n<li>Einige SMS enthielten die Reset-Codes f\u00fcr Microsofts Konto-Passwort und Huawei-ID-Verifizierungscodes. Auch Yahoo nutzte den Dienst, um einige Kontoschl\u00fcssel per SMS zu versenden<\/li>\n<li>Mehrere kleine bis mittelgro\u00dfe Krankenh\u00e4user und medizinische Einrichtungen erinnerten die Patienten an ihre bevorstehenden Termine und in einigen F\u00e4llen an Anfragen zur Abrechnung.<\/li>\n<\/ul>\n<p>Damit muss die Zweifaktor-Authentifizierung quasi als kompromittiert gelten, da die Daten quasi in Echtzeit in der Datenbank verf\u00fcgbar waren. W\u00e4ren die SMS-Nachrichten in falsche H\u00e4nde geraten, ergibt sich nicht nur eine Verletzung der Privatsph\u00e4re. Sondern \u00fcber die Inhalte der SMS h\u00e4tten Dritte Konten und damit die Identit\u00e4ten von Personen \u00fcbernehmen k\u00f6nnen. Nachdem Voxox informiert wurde, haben diese die Datenbank sofort offline genommen und den Server mit einem Passwort gesichert. Eine interne Untersuchung ergab, dass die Daten mit hoher Wahrscheinlichkeit nicht von Dritten abgegriffen wurden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der n\u00e4chste Datenskandal: Sicherheitsforscher sind auf eine Datenbank des US-Anbieters Voxox mit Millionen SMS-Nachrichten gesto\u00dfen. Diese liegen im Klartext vor, was nicht nur Probleme in Punkto Privatsph\u00e4re bringt. Auch Sachen wie Zweifaktor-Authentifizierung sind durch diesen Vorfall quasi als kompromittiert entzaubert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-211958","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211958"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211958\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}