Ein riesiges Datenleck beim US-amerikanischen Telekommunikationsanbieter Voxox wirft ein schlechtes Licht auf die Sicherheit von Zwei-Faktor-Authentisierungssystemen mittels SMS. Eine nicht passwortgeschützte Datenbank des Providers legte gleich mehrere zehn Millionen SMS-Nachrichten offen, für jeden einsehbar. Wie "Techcrunch"
berichtet, sei der deutsche Sicherheitsforscher Sébastien Kaul auf das Leck gestossen und konnte dadurch ohne Weiteres den Text der kompromittierten Nachrichten lesen sowie weitere Informationen extrahieren.
Das Problem liegt hauptsächlich darin, dass von verschiedenen Diensten vermehrt auch Passwörter und Codes via SMS verschickt werden, etwa von solchen Anbietern, die ein System mit Zwei-Faktor-Authentifizierung verwenden. Dabei wird ein Teil des Logins als Code via SMS verschickt. Mittlerweile wurde die Datenbank vom Netz genommen, das Leck dürfte aber weit mehr Bedeutung haben als nur für die betroffenen Kunden und Voxox selbst.
