Wszystkie SMS-y to pułapka? Zagrożone konta w 100 krajach
Doszło do ogromnego wycieku 2-stopniowych kodów weryfikacyjnych do popularnych serwisów oraz usług. Sprawa dotyczy użytkowników w 100 krajach.
Nowy raport ujawnia, że około miliona kodów dwuskładnikowego uwierzytelniania (2FA) wysłanych za pomocą wiadomości tekstowych mogło zostać przechwyconych. Sprawa jest niezwykle poważna i podważa bezpieczeństwo takiego rozwiązania.
Informator z branży technologicznej wskazał, że te kody bezpieczeństwa przeszły przez mało znaną zagraniczną firmę, która ma powiązania z rządowymi agencjami wywiadowczymi i firmami zajmującymi się cyfrowym nadzorem.
Przejęte kody 2-stopniowej weryfikacji
Kody 2FA mają za zadanie chronić konta użytkowników nawet w przypadku, gdy dane logowania, czyli logi i hasło, wpadną w niepowołane ręce. Po wpisaniu hasła, użytkownik proszony jest o wprowadzenie kodu w celu potwierdzenia tożsamości. Bez tego zalogowanie się nie jest możliwe.
Kod może być generowany przez odpowiednią aplikację uwierzytelniającą lub wysyłany za pośrednictwem wiadomości SMS na zarejestrowany numer telefonu komórkowego. Problem z drugą opcją polega na tym, że komunikacja SMS jest całkowicie niezaszyfrowana, a tym samym kody są podatne na przechwycenie.
Przechwycony milion kodów
Informator dostarczył serwisowi Bloomberg dowody potwierdzające te rewelacje. Pozyskane dane, dotyczące około miliona wiadomości zawierających kody 2FA wysłanych w czerwcu 2023 roku, przeszły przez szwajcarską firmę Fink Telecom Services, która współpracowała z rządowymi agencjami.
Wśród nadawców tych kodów znalazły się takie firmy jak: Google, Meta, Amazon, kilka europejskich banków, popularne aplikacje jak Tinder i Snapchat, giełda kryptowalut Binance oraz szyfrowane platformy czatowe Signal i WhatsApp. Docelowi odbiorcy znajdowali się w ponad 100 krajach na pięciu kontynentach, więc powinniśmy założyć, że również w Polsce.
Oznacza to, że niepowołana osoba, posiadająca dostęp do nazwy użytkownika i hasła, mogła zalogować się na nasze konta nawet wtedy, gdy włączona jest funkcja 2FA.
Dyrektor finansowy Fink Telecom Services twierdził, że firma jedynie zapewnia "możliwości routingu" i "nie zajmuje się już nadzorem". Jednak eksperci ds. bezpieczeństwa powiązali Fink Telecom z przypadkami, w których przechwycone kody 2FA z SMS-ów były używane do włamań na konta.
Ten incydent pokazuje, że wysyłanie kodów do 2-stopniowej weryfikacji za pomocą SMS-ów nie jest najlepszym rozwiązaniem. Dużo bezpieczniejsze wydają się aplikacje z kodami, a przede wszystkim klucze sprzętowe.
