Nieuws
image

Grootste sms-verwerker ter wereld meldt omvangrijk en jarenlang datalek

dinsdag 5 oktober 2021, 10:10 door Redactie, 4 reacties

Syniverse, een bedrijf dat naar eigen zeggen 740 miljard sms-berichten per jaar verwerkt en nagenoeg alle grote telecomproviders ter wereld als klant heeft, heeft in een document aan de Amerikaanse beurswaakhond SEC een omvangrijk en jarenlang datalek gemeld dat mogelijk miljoenen of miljarden mensen raakt.

In een document dat op 27 september bij de SEC werd ingediend stelt Syniverse dat het in mei van dit jaar ongeautoriseerde toegang tot operationele en it-systemen ontdekte. Verder onderzoek wees uit dat de aanvaller of aanvallers al sinds mei 2016 toegang tot de systemen en databases van Syniverse hadden. Daarbij zijn de inloggegevens van 235 klanten gecompromitteerd.

Het bedrijf heeft naar eigen zeggen directe verbindingen met meer dan driehonderd telecomproviders wereldwijd. Daarnaast zijn 95 van de honderd grootste telecomproviders ter wereld klant van het bedrijf, waaronder AT&T en Verizon. Alle getroffen klanten zijn volgens Syniverse inmiddels ingelicht. Hoe de aanvaller toegang tot de systemen wist te krijgen is niet bekendgemaakt. Wel laat het bedrijf weten dat "alle kwetsbaarheden" die het datalek mogelijk maakten inmiddels zijn verholpen.

Met de gecompromitteerde inloggegevens had de aanvaller mogelijk toegang tot de sms-berichten van miljoenen of miljarden mensen kunnen krijgen, afhankelijk van de getroffen telecomprovider, zo laat een bron tegenover Vice Magazine weten.

"Syniverse heeft toegang tot de communicatie van honderden miljoenen, zo niet miljarden, mensen wereldwijd. Een vijfjarig datalek in één van de primaire systemen van Syniverse is een wereldwijde privacyramp", zegt beveiligingsonderzoeker Karsten Nohl. Volgens Nohl hebben de systemen van Syniverse directe toegang tot gespreksgegevens en sms-berichten, en indirecte toegang tot een groot aantal online accounts die door middel van tweefactorfactorauthenticatie via sms worden beveiligd.

De Amerikaanse senator Ron Wyden laat tegenover Vice Magazine weten dat de Amerikaanse toezichthouder FCC een onderzoek moet instellen naar het datalek. "Dat dit datalek vijf jaar lang onopgemerkt bleef roept serieuze vragen op over de cybersecurity practices van Syniverse." Wyden wil van de FCC weten of het bedrijf nalatig is geweest en of er soortgelijke datalekken zich bij concurrenten van Syniverse hebben voorgedaan.

Reacties (4)
05-10-2021, 10:21 door Anoniem
Dit onderstreept maar weer eens het belang van End-to-End versleuteling, waarbij een provider of leverancier geen inzage krijgt in de inhoud van een bericht. En het maakt wederom duidelijk dat SMS als tweede factor uitgefaseerd moet worden voor alternatieven zoals TOTP en FIDO2 beveiligingssleutels.
05-10-2021, 11:11 door Anoniem
Door Anoniem: Dit onderstreept maar weer eens het belang van End-to-End versleuteling, waarbij een provider of leverancier geen inzage krijgt in de inhoud van een bericht.

Als het goed is dan is een aanzienlijk deel van de SMS berichten sinds enige tijd ook end-to-end versleuteld.

Google voorziet Android Berichten-app van end-to-end encryptie
woensdag 16 juni 2021, 11:18 door Redactie

https://www.security.nl/posting/707888/Google+voorziet+Android+Berichten-app+van+end-to-end+encryptie

En het maakt wederom duidelijk dat SMS als tweede factor uitgefaseerd moet worden voor alternatieven zoals TOTP en FIDO2 beveiligingssleutels.

Een sleutelbos met een handvol USB-tokens valt nog wel te hanteren, maar een reiskoffer vol wordt erg onhandig...

eIDAS

https://www.security.nl/posting/692488#posting692608
05-10-2021, 12:04 door Anoniem
Door Anoniem: Dit onderstreept maar weer eens het belang van End-to-End versleuteling, waarbij een provider of leverancier geen inzage krijgt in de inhoud van een bericht. En het maakt wederom duidelijk dat SMS als tweede factor uitgefaseerd moet worden voor alternatieven zoals TOTP en FIDO2 beveiligingssleutels.
Dit is inderdaad een risico voor MFA authenticatie via SMS, maar uitfaseren vind ik toch wat de kort door de bocht. Er zijn genoeg mensen die redelijk digibeet zijn en toch gedwongen worden om bankzaken, communicatie met overheid, verzekeringen, etc. via het internet te doen. Voor die mensen is een SMS MFA eenvoudiger dan een smartphone met een authenticatie app. Voor 99% van de situaties is SMS MFA meer dan voldoende veilig als MFA.

Daarnaast heb je met het verschrikkelijke gedrag in de IT wereld te maken waarbij iedereen zo nodig zijn eigen oplossing wil afdwingen en het vertikt standaarden te volgen. Als je alle MFA met één authenticator app kan doen, is er nog iets voor te zeggen. Maar op dit moment wordt je gedwongen teveel verschillende authenticatie apps te installeren. Het is nog een groter drama dan de Chipknip en Chipper van vroeger. Stond je ook altijd met net de verkeerde pas bij de verkeerde betaalterminal.

Alleen als je op systemen met hoog risico zit, denk aan backbones van banken, overheidsinstellingen, opsporingsdiensten, telecomproviders, etc. dan is het niet verstandig om voor MFA op SMS te vertrouwen. Maar voor al het andere werk is SMS echt meer dan voldoende.
06-10-2021, 06:38 door Anoniem
Hoe kan het gebeuren dat een bedrijf met zo'n groot volume,zo nalatig mag en kan zijn. En dat voor 5 jaar.
Echt goed toezicht.

Mijn eerste reactie is: opbreken dat bedrijf. Verpreid het risico meer.

Voerger kon je dan nog roepen: Only in America.
Maar tegenwoordig? ... Ik hou mijn hart vast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search