Ο ακρογωνιαίος λίθος των μηνυμάτων κειμένου είναι ευάλωτος εδώ και μισή δεκαετία. Η Ars Technica αναφέρει ότι η Syniverse, η οποία δρομολογεί δισεκατομμύρια συνομιλίες SMS για εκατοντάδες πάροχους στις ΗΠΑ και στο εξωτερικό, αποκάλυψε την παραβίαση που κράτησε για πέντε χρόνια.

Η εταιρεία ανακάλυψε τον Μάιο του 2021 ότι κάποιος είχε "μη εξουσιοδοτημένη πρόσβαση" στα λειτουργικά και πληροφοριακά συστήματά της από τον Μάιο του 2016 και κατά τη διάρκεια αυτής της περιόδου είχε "αρκετές" ευκαιρίες πρόσβασης σε βάσεις δεδομένων δικτύου. Οι εισβολείς παραβίασαν τα στοιχεία σύνδεσης για το περιβάλλον Electronic Data Transfer της Syniverse για περίπου 235 carriers , σύμφωνα με την εταιρεία.

Η εταιρεία δρομολόγησης δεν δήλωσε εάν οι επιτιθέμενοι έλαβαν μηνύματα ή παραβίασαν με άλλο τρόπο το απόρρητο των χρηστών. Αν και δεν έχουν βρεθεί αποδείξεις παράνομης δραστηριότητας ή εκμετάλλευσης, οι εισβολείς θα μπορούσαν να έχουν λάβει περιεχόμενο μηνυμάτων κειμένου, πρόσθεσε η πηγή.

Η Syniverse είπε ότι διόρθωσε τα ελαττώματα ασφάλειας και ειδοποίησε όλους τους πελάτες όταν νόμιμα απαιτείται, αλλά ότι "δεν απαιτείται καμία πρόσθετη ενέργεια" σε αυτό το στάδιο.

Ενώ αυτή η απάντηση υποδηλώνει ότι η πρακτική ζημιά μπορεί να είναι περιορισμένη, εξακολουθεί να υπάρχει λόγος ανησυχίας - οι επιτιθέμενοι μπορεί να είχαν πρόσβαση σε τεράστιους όγκους ευαίσθητων μηνυμάτων.

machine translated by Google Translate

Πηγή : Engadget (https://www.engadget.com/syniverse-sms-routing-company-hacked-131314113.html?src=rss)

2 step verification? :hmm:

2 step verification? :hmm:

Το πρώτο που σκέφτηκα. Ευτυχώς πλέον χρησιμοποιούν οι περισσότεροι authentication apps.

Το πρώτο που σκέφτηκα. Ευτυχώς πλέον χρησιμοποιούν οι περισσότεροι authentication apps.

Για τρία-τέσσερα από αυτά τα 5 χρόνια ήταν σχεδόν το απόλυτο όμως. Όλοι σε αυτό βασιζόμασταν.

Πέντε χρόνια τους πήρε να το καταλάβουν; Καιρός οι τράπεζες να αρχίσουν να απαιτούν telegram...

2 step verification? :hmm:

Ε ναι, γι αυτό δεν δηλώνουν και αν οι επιτιθέμενοι έλαβαν τα μηνύματα.

Το πρώτο που σκέφτηκα. Ευτυχώς πλέον χρησιμοποιούν οι περισσότεροι authentication apps.

Και εγώ... Το PayPal όμως μου στέλνει SMS! Δεν βρίσκω επιλογή για app. Μήπως δεν έχει;;; ;

Δεν εχει το ρημαδι... δεν εχει.

Θεωρώ πως το SMS (και το FAX) είναι μια τεχνολογία του περασμένου αιώνα! Ας θυμηθούμε πως ξεκινήσαμε να το χρησιμοποιούμε εντός της δεκαετίας του '90 . Δεν θα έπρεπε να το χρησιμοποιούμε ακόμη 30 χρόνια μετά! Και μάλιστα με όλα τα προβλήματα ασφάλειας που γνωρίζουμε εδώ και καιρό ότι έχει.

Και εγώ... Το PayPal όμως μου στέλνει SMS! Δεν βρίσκω επιλογή για app. Μήπως δεν έχει;;; ;

Το PayPal έχει κανονικά επιλογή για 2FA μέσω time based OTP (Google/Microsoft Authenticator κλπ) και το χρησιμοποιώ εδώ και τουλάχιστο 1 χρόνο.
231389

Το PayPal έχει κανονικά επιλογή για 2FA μέσω time based OTP (Google/Microsoft Authenticator κλπ) και το χρησιμοποιώ εδώ και τουλάχιστο 1 χρόνο.
231389

Να σε καλά... Απενεργοποίησα τελικά το 2FA και ξανά ενεργοποίηση και μου δίνει επιλογή για time based app και το έκανα. Σε Ευχαριστώ.

Και εγώ... Το PayPal όμως μου στέλνει SMS! Δεν βρίσκω επιλογή για app. Μήπως δεν έχει;;; ;


Δεν εχει το ρημαδι... δεν εχει.

Φυσικά και έχει. Νομίζω μόνο κάποιες Ελληνικές τράπεζες έχουν ξεμείνει στο SMS...

Θεωρώ πως το SMS (και το FAX) είναι μια τεχνολογία του περασμένου αιώνα! Ας θυμηθούμε πως ξεκινήσαμε να το χρησιμοποιούμε εντός της δεκαετίας του '90 . Δεν θα έπρεπε να το χρησιμοποιούμε ακόμη 30 χρόνια μετά! Και μάλιστα με όλα τα προβλήματα ασφάλειας που γνωρίζουμε εδώ και καιρό ότι έχει.

Γιατί είναι του περασμένου αιώνα τα sms για κάποιον που θέλει απλά μηνύματα χωρίς κινούμενες εικόνες και καρδούλες?

Φυσικά και έχει. Νομίζω μόνο κάποιες Ελληνικές τράπεζες έχουν ξεμείνει στο SMS...

Ναι έχεις δίκιο υπάρχει η δυνατότητα για time passed app. Απλά αν κάποιος έχει ενεργό το SMS 2FA δεν καταλαβαίνει εύκολα ότι μπορεί να το αλλάξει σε app. Πρέπει να το κλείσεις και να ξεκινήσεις από την αρχή τον ορισμό μιας συσκευής 2FA για να σου δώσει την δυνατότητα αυτήν.

Δεν υπήρχε πρόσφατα θέμα πάλι με εταιρία SMS; Πριν 2-3 μήνες το πολύ;
Έχει κάποιος link;

Edit:
Επίσης, υπάρχει κάτι που πρέπει να προσέξουμε σε authenticator apps;

Edit 2:
Το βρήκα: https://www.androidauthority.com/google-2fa-verification-text-ad-1240027/

Edit:
Επίσης, υπάρχει κάτι που πρέπει να προσέξουμε σε authenticator apps;


1. Να είναι ανοιχτού κώδικα
2. Nα έχει πολύ καλή ανάπτυξη, τεκμηρίωση και υποστήριξη
3. Να παρέχει τη δυνατότητα να γίνεται εξαγωγή των κλειδιών
4. Να παρέχει δυνατότητες ασφάλειας, όπως κλείδμα με κωδικό ή με βιομετρικά στοιχεία.

Γι' αυτό και χρησιμοποιώ μόνο το Aegis Authenticator (https://getaegis.app/) σε Android.

Γιατί είναι του περασμένου αιώνα τα sms για κάποιον που θέλει απλά μηνύματα χωρίς κινούμενες εικόνες και καρδούλες?

Συγκεκριμένα το A2P είναι...πιο μεγάλος κλάδος από ότι φαντάζονται οι περισσότεροι. Συνήθως παίζει στα 40-50 δις δολλάρια ετήσιο revenue. Ακόμα και εφαρμογές που χρησιμοποιούν authenticators, πολλές φορές έχουν fallback σε sms. Επίσης, πολλοί το χρησιμοποιούν για ενημέρωση, όχι authentication ( π.χ. κινήσεις σε τράπεζα, εκτέλεση συνταγών, κτλ ).


Δεν υπήρχε πρόσφατα θέμα πάλι με εταιρία SMS; Πριν 2-3 μήνες το πολύ;

Ακριβώς επειδή υπάρχει χρήμα, τον τελευταίο καιρό ( 1-2 χρόνια ) έχουν μπει στο μάτι διάφορων που είτε προσπαθούν να τους κλέψουν δεδομένα, ή να τους εκβιάσουν με επιθέσεις τύπου ddos.

Ωραίο το Aegis, δεν το ήξερα. Ευχαριστούμε @maxie! :oneup:

Στην παραπάνω λίστα θα πρόσθετα (για λόγους προσωπικής παράνοιας...): να μην κάνει μόνο του sync/upload/backup σε δικό του cloud.

Ωραίο το Aegis, δεν το ήξερα. Ευχαριστούμε @maxie! :oneup:

Στην παραπάνω λίστα θα πρόσθετα (για λόγους προσωπικής παράνοιας...): να μην κάνει μόνο του sync/upload/backup σε δικό του cloud.

Α, είμαστε πολλοί! Θα 'χουμε πολλά να λέμε.:)

Ξέχασα να αναφέρω το δεύτερο σημαντικότερο όταν κοιτάω σε ένα πρόγραμμα ή εφαρμογή. Να δουλεύει εκτός σύνδεσης και να μην απαιτείται η σύνδεση στο ίντερνετ, να είναι μόνο προαιρετική υπό προϋποθέσεις.

Οπότε ενημερώνω τη λίστα:

1. Να είναι ανοιχτού κώδικα
2. Να έχει πολύ καλή ανάπτυξη, τεκμηρίωση και υποστήριξη
3. Να είναι τοπικής χρήσης και αποθήκευσης, δηλαδή να μην απαιτείται η χρήση ή και σύνδεση στο ίντερνετ παρά μόνο από επιλογή του χρήστη
4. Να παρέχει τη δυνατότητα να γίνεται εισαγωγή και εξαγωγή των κλειδιών
5. Να παρέχει δυνατότητες ασφάλειας, όπως κλείδωμα με κωδικό ή με βιομετρικά στοιχεία, προστασία από στιγμιότυπα οθόνης (screenshots) κ.α.
6. Να είναι διαθέσιμο στο αποθετήριο F-Droid ή να μπορείς να κατεβάσεις το APK από επίσημο χώρο, όπως από την ιστοσελίδα του ή από το αποθετήριο ανάπτυξης κώδικα, GitHub, κ.α.

Το μόνο αρνητικό με το Aegis είναι ότι δεν έχει εικονίδια, οπότε θα πρέπει να κατεβάσεις ένα πακέτο από το https://aegis-icons.github.io/ και τα εισάγεις.

Όλα τα προηγούμενα κριτήρια που ανέφερα, μαζί με το δικό σου, τα καλύπτει. Οπότε είναι ο ιδανικός 2FA authenticator. Ακόμη και ο συντηρητής του andOTP, μιας αντίστοιχης γνωστής εφαρμογής, παραδέχεται ότι το Aegis είναι καλύτερο σε θέμα κρυπτογράφησης (https://teddit.net/r/androidapps/comments/b45zrj/dev_aegis_authenticator_secure_two_factor/ejvioko/#c) .


Για το θέμα του νήματος, η πιστοποίηση SMS είναι πολύ μεγάλη ευπάθεια. Για χρόνια διαβάζω και αναφέρω σε συζητήσεις ότι τα SMS που διαχειρίζονται από τους παρόχους τηλεπικοινωνίας και κυρίως από τις εταιρίες δρομολόγησης, αποτελούν σημαντικό "αδύναμο" κρίκο στην αλυσίδα της ασφάλειας.

Την τελευταία πενταετία έχουν αρχίσει να απαξιώνονται λόγω της χρήσης των εφαρμογών άμεσων μηνυμάτων, κυρίως από τους ανήλικους, και καιρός είναι να απαξιωθούν εντελώς με την κατάργησή τους, κάτι που δε βλέπω να γίνεται στο εγγύς μέλλον.

Οι τράπεζες στην Ελλάδα, πέρα του ότι είναι ουραγοί σε θέματα ασφάλειας, προτιμούν το SMS για την ταυτοποίηση του προσώπου, κάτι που σε εφαρμογή authenticator δεν γίνεται. Εν μέρει έχουν ένα δίκιο, αλλά φυσικά δεν τους κάνει σωστούς. Από την άλλη, χρήστες που δεν έχουν πρόσβαση στο δίκτυο κινητής (δεν υπάρχει καλή κάλυψη, περιοχή με αδύναμο σήμα, φραγή του αριθμού από τον πάροχο) οι εφαρμογές 2FA είναι η λύση. Το πιο πιθανό, αλλά δύσκολο και ασύμφορο είναι να έχουν πιστοποίηση μέσω των εφαρμογών τους.

Από τη στιγμή που για τη διαχείριση κωδικών 2FA γίνεται και από προγράμματα σε όλα τα λειτουργικά συστήματα, δεν φαντάζει πολυτέλεια ή αποκλειστικότητα για χρήση μόνο από φορητές συσκευές σε Android και iOS

Πολλοί αναφέρουν αν γίνεται η αποστολή σε εφαρμογές άμεσων μηνυμάτων όπως Viber, WhatsApp, Telegram. Δεν ξέρω αν το γνωρίζετε αλλά υπάρχει το Matrix (https://matrix.org\), ανοιχτό πρωτόκολλο με τη δυνατότητα διασυνδέσεων, τα λεγόμενα "MatrixBridges (https://matrix.org/bridges/)", με άλλα πρωτόκολλα, όπως αυτά που προανέφερα. Δηλαδή είναι ένα ανοιχτό, ελεύθερο, ομόσπονδο δίκτυο που δεν περιορίζεται καθώς ο καθένας μπορεί να στήσει κόμβο και να το διαμορφώσει όπως επιθυμεί. Υπάρχουν case studies (https://element.io/case-studies) που αποδεικνύουν ότι είναι ώριμο και λειτουργικό.

Και τελειώνω γράφοντας ότι υπάρχει και Matrix Bridge για SMS (https://matrix.org/bridges/#sms).

Ωραίο το Aegis, δεν το ήξερα. Ευχαριστούμε @maxie! :oneup:

Στην παραπάνω λίστα θα πρόσθετα (για λόγους προσωπικής παράνοιας...): να μην κάνει μόνο του sync/upload/backup σε δικό του cloud.
Κι εγώ με Aegis παίζω από πέρσι που ενεργοποίησα το 2FA για το Paypal :)