Verein für Computersicherheit

Chaos Computer Club warnt vor 2FA via SMS

Uhr
von Sara Meier und jor

Dem Chaos Computer Club ist es gelungen, rund 200 Millionen per SMS verschickte 2FA-Codes einzusehen. Der Verein warnt nun vor der 2FA-Nutzung via SMS.

(Source: FlyD / unsplash.com)
(Source: FlyD / unsplash.com)

Der Chaos Computer Club (CCC) warnt vor der Nutzung von Zwei-Faktor-Authentisierung (2FA) via SMS-Codes. Bekannt war bereits, dass Angreifer mit Methoden wie SIM-Swapping 2FA-SMS-Codes erhalten können. Wie "Heise" berichtet, entdeckte der CCC jedoch einen weiteren Angriffsvektor. 

Oft setzen Unternehmen, die 2FA für ihre Kunden anbieten, auf SMS-Versanddienstleister. Bei einem solchen Dienstleister, in diesem Fall Identifymobile, sei es dem CCC gelungen, fast 200 Millionen Codes einzusehen. Der SMS-Versender teilt 2FA-Codes in Echtzeit im Internet.

Nutzerdaten von mehr als 200 Unternehmen betroffen

Durch das Erraten der Subdomain konnte der CCC die Einmalpasswörter, Rufnummern und Absenderadressen einsehen. Der Dienstleister handle in diesem Fall grob fahrlässig und schütze Kundendaten nicht ausreichend, so der CCC. 

Laut CCC-Bericht nutzen mehr als 200 Unternehmen, darunter Amazon, Airbnb, Facebook und Telegram den betroffenen Dienstleister. Der CCC rät, einen anderen 2FA-Weg zu nutzen oder, falls angeboten, Hardware-Tokens oder Einmalpasswörter zu verwenden. 

 

Wie Cyberkriminelle per Phishing Zwei-Faktor-Authentifizierungen aushebeln, lesen Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Tags
Webcode
6rRkVeUY

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter