TikTok, Instagram, Facebook ve YouTube gibi popüler platformlarda kullanıcıların giriş yaparken aldığı tek seferlik kodları ve şifre sıfırlama bağlantılarını yöneten bir şirketin veri tabanı sızdırıldı. YX International adlı firma, günlük 5 milyondan fazla SMS ile 2FA hizmeti sunuyordu ve şirketin bir veri tabanının şifresiz olarak bırakıldığı ortaya çıktı. Bu veri tabanı, kullanıcıların Google, Meta ve TikTok gibi platformlara girişte kullandığı kodları ve şifre sıfırlama bağlantılarını içeriyordu.
Güvenlik açığı, YX International’ın günlük olarak milyonlarca SMS gönderdiği bir hizmeti sağlamasına rağmen veri tabanını korumada yetersiz kaldığı anlamına geliyor. Veri tabanının ne kadar süre boyunca şifresiz olduğuna dair net bilgiler bulunmamakla birlikte, incelenen dosyalar Temmuz 2023 tarihine kadar uzanıyordu. YX International temsilcisi, olayın farkına varıldığını ve güvenlik açığının kapatıldığını belirtti, ancak bu açığın kaç kullanıcıyı etkilediği henüz belirsiz.
Bilgisayar korsanlarının, güvenlik açığını ne zaman keşfettiği ve kullanıp kullanmadığı da henüz netlik kazanmamış durumda. Bu durum, platformlara girişte kullanılan güvenlik kodlarına ve şifre sıfırlama bağlantılarına erişim sağlayan bu tür bir güvenlik açığının potansiyel risklerini ortaya koyuyor.