Voxox意外暴露2600万条短信记录，其中包含大量敏感信息

Voxox是一家批发短信和语音服务的VOIP和云通信提供商，它提供了一个包含数千万条短信的海量数据库，其中包含各种高度敏感的信息，如明文密码，2FA密码，密码重置代码，电话号码和验证码。

安全研究员SébastienKaul在Shodan Internet连接设备搜索引擎的帮助下找到未受保护的服务器上暴露于公共访问的数据库存储。

Kaul在开放互联网上发现的短信数据库为访问它的人提供了几乎实时查看通过Voxox短信网关的所有信息。

正如Kaul所发现的，该服务器运行的是用于部署分布式数据搜索和分析引擎的Amazon Elasticsearch托管服务，其中启用了开源Kibana数据可视化插件，可以快速，直接地进行数据库分析。这意味着任何想要使用足够的知识来使用Elasticsearch的暴露数据库的人都可以使用它作为搜索引擎，从名称和电话号码到明文的发货细节和密码。

正如报道的那样，“在关闭时，数据库似乎今年迄今已有超过2600万条短信”。“但是，从数据库的视觉前端看，通过平台每分钟处理的大量消息表明这个数字可能更高。”

Voxox的数据泄露引发的最大问题是，有针对性的操作可以轻易地破坏这个非常敏感的信息，并在没有人知道的情况下滥用它，完全劫持整个2FA系统。

如果感觉文章不错，分享让更多的人知道吧！