Вы всё ещё доверяете SMS-кодам?
В 2023 году миллионы людей по всему миру получили одноразовые коды подтверждения входа от таких компаний, как Google, Meta*, Amazon и Binance. Эти сообщения, по данным Bloomberg Businessweek и Lighthouse Reports, проходили через руки малозаметной швейцарской компании Fink Telecom Services. Несмотря на свой микроскопический размер — менее 10 сотрудников — структура оказалась способна обрабатывать и, потенциально, видеть конфиденциальные данные сотен тысяч пользователей.
Механизм , в котором код подтверждения присылается по SMS, уже давно вызывает опасения в сфере цифровой безопасности. Проблема в том, что сами компании, отправляющие эти коды, почти никогда не делают это напрямую. Обычно они передают сообщения целой цепочке посредников — от крупных операторов до малоизвестных компаний, предлагающих маршруты подешевле. В этой запутанной структуре у отправителя нет гарантий, кто именно будет обрабатывать сообщение до момента доставки.
В июне 2023 года около миллиона таких сообщений с одноразовыми кодами прошли через инфраструктуру Fink Telecom. Это были сообщения от крупнейших технологических корпораций, европейских банков, мессенджеров Signal и WhatsApp, а также от криптобиржи Binance. Получатели находились в более чем 100 странах. Все эти данные были предоставлены журналистам анонимным информатором, а затем верифицированы независимыми техническими специалистами.
Интерес к Fink Telecom возник не случайно. Её основатель, Андреас Финк, ранее работал с государственными структурами и подрядчиками в сфере наблюдения. Согласно публикациям в СМИ и отчётам специалистов, компании, связанные с Финком, участвовали в атаках на аккаунты пользователей, перехватывая SMS-коды и получая доступ к личным данным.
Так, в 2020 году в Израиле произошла серия взломов криптовалютных кошельков и почтовых ящиков. По итогам расследования выяснилось, что трафик перехватывался через глобальный заголовок, зарегистрированный на компанию SMSRelay — ещё одну структуру, основанную Финком. Несмотря на заявления о закрытии SMSRelay в 2016 году, её ресурсы, как показывает анализ данных, оставались активны до 2023 года.
Журналисты также выяснили, что Fink Telecom владела или арендовала глобальные заголовки ( ) — специальные технические идентификаторы, используемые для связи между мобильными сетями — в Швейцарии, Великобритании, Намибии и Чеченской Республике. Международная организация ещё в 2023 году выпустила рекомендации избегать аренды данных идентификаторов, указывая на высокий риск злоупотреблений. В Великобритании регуляторы уже запретили подобные практики.
Сам Финк в переписке с журналистами отверг обвинения, заявив, что его компания больше не участвует в деятельности, связанной с наблюдением, и что она просто предоставляет технические услуги, не анализируя содержимое сообщений. Однако, как показывает расследование, именно многоуровневая система субподрядов делает такие заявления трудно проверяемыми. Генерирующие код компании, вроде Google и Meta*, напрямую не сотрудничают с Fink Telecom — их партнёры просто делегируют задачи другим, часто не проверяя, кому именно.
В итоге крупные компании оказываются в ситуации, когда не могут гарантировать безопасность сообщений, которые предназначены для защиты учётных записей пользователей. Представители Google подтвердили, что уходят от использования SMS в сторону QR-кодов и других методов. Signal уже внедрил защиту, требующую дополнительный PIN для активации на новом устройстве. Meta* уведомила партнёров о недопустимости взаимодействия с Fink Telecom при оказании услуг компании и её филиалам.
Несмотря на то, что рынок доставки SMS-аутентификаций оценивается в $30 миллиардов и активно используется во всём мире, эксперты всё чаще называют такую модель устаревшей и опасной. Слабая регуляция, лёгкость входа в бизнес и технические уязвимости делают возможным перехват сообщений даже структурами с минимальным штатом. А те, кто проектирует системы безопасности, продолжают надеяться, что простой текст «не делитесь этим кодом» — достаточная защита.
Подробнее:
В 2023 году миллионы людей по всему миру получили одноразовые коды подтверждения входа от таких компаний, как Google, Meta*, Amazon и Binance. Эти сообщения, по данным Bloomberg Businessweek и Lighthouse Reports, проходили через руки малозаметной швейцарской компании Fink Telecom Services. Несмотря на свой микроскопический размер — менее 10 сотрудников — структура оказалась способна обрабатывать и, потенциально, видеть конфиденциальные данные сотен тысяч пользователей.
Механизм , в котором код подтверждения присылается по SMS, уже давно вызывает опасения в сфере цифровой безопасности. Проблема в том, что сами компании, отправляющие эти коды, почти никогда не делают это напрямую. Обычно они передают сообщения целой цепочке посредников — от крупных операторов до малоизвестных компаний, предлагающих маршруты подешевле. В этой запутанной структуре у отправителя нет гарантий, кто именно будет обрабатывать сообщение до момента доставки.
В июне 2023 года около миллиона таких сообщений с одноразовыми кодами прошли через инфраструктуру Fink Telecom. Это были сообщения от крупнейших технологических корпораций, европейских банков, мессенджеров Signal и WhatsApp, а также от криптобиржи Binance. Получатели находились в более чем 100 странах. Все эти данные были предоставлены журналистам анонимным информатором, а затем верифицированы независимыми техническими специалистами.
Интерес к Fink Telecom возник не случайно. Её основатель, Андреас Финк, ранее работал с государственными структурами и подрядчиками в сфере наблюдения. Согласно публикациям в СМИ и отчётам специалистов, компании, связанные с Финком, участвовали в атаках на аккаунты пользователей, перехватывая SMS-коды и получая доступ к личным данным.
Так, в 2020 году в Израиле произошла серия взломов криптовалютных кошельков и почтовых ящиков. По итогам расследования выяснилось, что трафик перехватывался через глобальный заголовок, зарегистрированный на компанию SMSRelay — ещё одну структуру, основанную Финком. Несмотря на заявления о закрытии SMSRelay в 2016 году, её ресурсы, как показывает анализ данных, оставались активны до 2023 года.
Журналисты также выяснили, что Fink Telecom владела или арендовала глобальные заголовки ( ) — специальные технические идентификаторы, используемые для связи между мобильными сетями — в Швейцарии, Великобритании, Намибии и Чеченской Республике. Международная организация ещё в 2023 году выпустила рекомендации избегать аренды данных идентификаторов, указывая на высокий риск злоупотреблений. В Великобритании регуляторы уже запретили подобные практики.
Сам Финк в переписке с журналистами отверг обвинения, заявив, что его компания больше не участвует в деятельности, связанной с наблюдением, и что она просто предоставляет технические услуги, не анализируя содержимое сообщений. Однако, как показывает расследование, именно многоуровневая система субподрядов делает такие заявления трудно проверяемыми. Генерирующие код компании, вроде Google и Meta*, напрямую не сотрудничают с Fink Telecom — их партнёры просто делегируют задачи другим, часто не проверяя, кому именно.
В итоге крупные компании оказываются в ситуации, когда не могут гарантировать безопасность сообщений, которые предназначены для защиты учётных записей пользователей. Представители Google подтвердили, что уходят от использования SMS в сторону QR-кодов и других методов. Signal уже внедрил защиту, требующую дополнительный PIN для активации на новом устройстве. Meta* уведомила партнёров о недопустимости взаимодействия с Fink Telecom при оказании услуг компании и её филиалам.
Несмотря на то, что рынок доставки SMS-аутентификаций оценивается в $30 миллиардов и активно используется во всём мире, эксперты всё чаще называют такую модель устаревшей и опасной. Слабая регуляция, лёгкость входа в бизнес и технические уязвимости делают возможным перехват сообщений даже структурами с минимальным штатом. А те, кто проектирует системы безопасности, продолжают надеяться, что простой текст «не делитесь этим кодом» — достаточная защита.
Подробнее:
