Sébastien Kaul revelou uma vulnerabilidade que permitia a hackers acederem a um repositório controlado pela Voxox e que continha 26 milhões de SMS. A base de dados permaneceu ativa mesmo depois da revelação do investigador, o que terá permitido aos piratas monitorizarem em tempo quase real a entrada de novas informações. Entre as SMS, segundo o Tech Crunch, estavam informações enviadas pela Google, Amazon ou Microsoft.
Esta vulnerabilidade traz o foco da atenção para os sistemas de autenticação de dois fatores que passam pelo envio de uma mensagem de texto para o telefone do utilizador. Este método pressupõe o envio de um código através de SMS, que faz com que mesmo que um hacker saiba o username e password de uma vítima, não consiga aceder à conta sem o referido código. No caso de haver uma quebra de segurança que expõe os conteúdos das SMS, os hackers precisariam “apenas” de contrastar os nomes de utilizador e números de telefone para poderem obter o código.
O The Verge lembra que a forma mais segura passa por usar apps de autenticação, como é o caso do 1Password ou do Google Authenticator. Estas aplicações não têm dados sensíveis e funcionam mesmo que o telefone não esteja ligado à rede de telecomunicações. Por outro lado, o uso de chaves físicas também tem apresentado bons resultados, com a Google a indicar que não viu nenhum ataque de phishing ser bem sucedido, desde que obrigou todos os funcionários a usarem estas chaves.
