Слили всё: как уязвимость в SMS поставила под удар миллионы людей

С целью демонстрации ненадежности двухфакторной аутентификации (2FA) через SMS, неизвестный специалист по кибербезопасности получил доступ к приблизительно миллиону кодов подтверждения и поделился информацией с прессой. Эти коды были отправлены пользователям из более чем сотни государств в июне 2023 года.

Все текстовые сообщения проходили через малоизвестную швейцарскую организацию Fink Telecom Services, связанную с компаниями, специализирующимися на цифровом мониторинге. Считается, что причиной перехвата стали слабые места как в самой компании, так и в протоколе SMS, который не предусматривает шифрование данных.

Среди платформ, чьи коды были скомпрометированы, оказались Google, Meta*, Amazon, европейские банковские учреждения, Tinder, Snapchat, Binance, а также программы для обмена сообщениями Signal и WhatsApp. Специалисты в области безопасности подчёркивают, что использование SMS для защиты аккаунтов – рискованно, и рекомендуют применять приложения-аутентификаторы.

*признана экстремистской и запрещена в РФ.

Обратите внимание: В жизни российских пенсионеров в июне произойдут перемены, связанные с новым указом, о котором рассказала Татьяна Голикова