В сеть утекли более миллиона SMS с кодами двухфакторной авторизации

Около миллиона кодов двухфакторной аутентификации (2FA), отправленных посредством SMS по всему миру, предположительно были перехвачены анонимным исследователем информационной безопасности. Инсайдер сообщил об этом изданию Bloomberg с целью привлечь внимание к несовершенству популярного метода защиты аккаунтов от взлома, передает Day.Az со ссылкой на Gazeta.ru.

Раскрытая информация указывает на то, что коды 2FA проходили через малоизвестную швейцарскую компанию Fink Telecom Services. Эта компания и ее основатель связаны с правительственными разведывательными агентствами и фирмами, занимающимися цифровой слежкой.

Инсайдер предоставил Bloomberg и исследовательскому центру Lighthouse Reports более миллиона кодов двухфакторной аутентификации, отправленных в июне 2023 года. Источник не уточнил, как он их получил, но предполагается, что ему удалось перехватить эти сообщения из-за проблем с безопасностью Fink Telecom Services и самого протокола передачи информации SMS.

Коды двухфакторной аутентификации призваны защищать учетные записи пользователей даже в случае компрометации их логинов и паролей. При включенной 2FA после подтверждения пароля требуется ввести код для подтверждения личности. Этот код может генерироваться приложением-аутентификатором с меняющимся кодом, привязанным к учетной записи, или быть отправлен веб-сайтом/приложением по SMS на зарегистрированный мобильный номер.

Проблема с последним вариантом заключается в том, что SMS-сообщения передаются в незашифрованном виде, что делает эти коды уязвимыми для перехвата в телекоммуникационной сети.

Среди отправителей перехваченных исследователем кодов числятся такие крупные компании, как Google, Meta и Amazon, несколько европейских банков, популярные приложения, включая Tinder и Snapchat, криптовалютная биржа Binance, а также мессенджеры Signal и WhatsApp. Получатели этих SMS находились более чем в 100 странах на пяти континентах.