Gần đây, các chuyên gia đã phát hiện ra một cơ sở dữ liệu không bảo mật có chứa hàng triệu các mã 2FA, và có thể dễ dàng đọc được bởi những đối tượng truy cập vào cơ sở dữ liệu. Cụ thể hơn, cơ sở dữ liệu có thể dễ dàng truy cập được trên Internet này đã không được đặt mật khẩu. Các đối tượng biết được địa chỉ IP của cơ sở dữ liệu có thể dễ dàng truy cập vào sử dụng bất kì trình duyệt web thông thường nào trên không gian mạng.
Qua quá trình điều tra, cơ sở dữ liệu đã được phát hiện là thuộc sở hữu của YX International, một công ty châu Á cung cấp dịch vụ điều hướng tin nhắn SMS, cùng một số dịch vụ khác. Hiện cơ sở dữ liệu này đã được phía công ty bảo mật lại sau khi được nhắc nhở.
Với lượng tin nhắn luân chuyển hàng ngày lên tới 5 triệu tin, cơ sở dữ liệu của YX International đã trở thành một mỏ vàng chứa thông tin quan trọng như: đường dẫn reset mật khẩu, mã 2FA cho Google, WhatsApp, Facebook và TikTok.
Trong phần lịch sử sử, tin nhắn cũ nhất ghi lại trên cơ sở dữ liệu là từ tháng 07/2023, việc thiếu sót mật khẩu để bảo mật cơ sở dữ liệu có thể gây chấn động cho nhiều người dùng, tuy nhiên, các chuyên gia cho rằng người dùng không cần quá bất an.
Lý do chính là bản chất của các mã 2FA có thời hạn sử dụng rất ngắn, một đối tượng tấn công muốn lợi dụng việc lộ lọt của cơ sở dữ liệu này cần phải giám sát liên tục cả hoạt động của người dùng lẫn sự thay đổi trên cơ sở dữ liệu, điều này trong thực tế là rất hiếm xảy ra.
Vậy người dùng có nên tiếp tục sử dụng tin nhắn SMS làm phương thức nhận mã 2FA?
Theo các chuyên gia bảo mật, với các mối đe dọa trên không gian mạng dần trở nên phức tạp và đa lớp, tài khoản người dùng cần phải được bảo mật một cách tương tự sử dụng các ứng dụng xác thực, khóa bảo mật vật lý và passkey; và người dùng nên cân nhắc các lựa chọn này nếu họ vẫn đang sử dụng mã 2FA nhận từ SMS hoặc thậm chí là không sử dụng 2FA.