Крупнейший международный бизнес годами экономил на безопасности клиентов

Российская Газета

Google, Amazon, криптовалютная биржа Binance, Tinder, Snapchat, банки и тысячи других компаний оставляли своих клиентов уязвимыми, чтобы сэкономить деньги и ресурсы.

Крупнейший международный бизнес годами экономил на безопасности клиентов
© Российская Газета

В распоряжение журналистского консорциума Lighthouse Reports попала база данных, содержащая более 1 млн SMS c цифровыми кодами двухфакторной аутентификации. Каждое из таких сообщений прошло через небольшую швейцарскую компанию Fink Telecom, а их получатели находились в более чем в 100 странах. Сегодня SMS с цифровым кодом является наиболее распространенным способом двухфакторной аутентификации. Такие SMS часто приходят с предупреждением: "Не делитесь этим кодом ни с кем". Однако получатели этих предупреждений не имеют возможности узнать, кто видел SMS, прежде чем оно попало к ним.

Когда компании, банки и сервисы генерируют сообщения с кодами аутентификации, они обычно не отправляют их напрямую. Вместо этого они передают эту работу на аутсорсинг, пересылая код на смартфон адресата через компанию посредника. Такие компании как Fink Telecom, предлагают более эффективные и дешевые способы доставки SMS, заключая договоры по закупке SMS-трафика с операторами связи во всем мире.

Однако, из-за присущих SMS недостатков - очень старого технологического стандарта, используемого для текстовых сообщений - компании, обрабатывающие такие сообщения, могут видеть их содержимое.

Попавшая к Lighthouse Reports база данных с миллионом SMS относилась лишь к одному месяцу 2023 года. Исследователи идентифицировали более тысячи различных компаний, включая таких гигантов как Google, Amazon, Binance, Tinder, Snapchat, ряд европейских банков и популярных мессенджеров, которые пользовались услугами Fink Telecom, в которой работает менее 10 сотрудников. Google, Signal и Binance уже заявили, что они не работали напрямую с Fink Telecom, а представитель Google сказал, что так как SMS сопряжены с "множеством проблем безопасности", компания вообще отказывается от использования SMS для аутентификации учетных записей.

По данным исследовательской фирмы Mobilesquared, отрасль аутсорсинга SMS в 2024 году оценивалась в 30 млрд долларов в 2024 году. И несмотря на то, что технология доставки кодов через SMS технически устарела и содержит уязвимости, она по-прежнему очень популярна.

Основатель Fink Telecom Андреас Финк признал наличие проблемы безопасности. Однако он считает, что ответственность за такие уязвимости лежит на организациях, которые генерируют коды двухфакторной аутентификации, а затем полагаются на небезопасную технологию передачи, такую как SMS, чтобы доставить их пользователям.

В международной некоммерческой организации Electronic Frontier Foundation считают, что более безопасно использовать другие способы аутентификации учетных записей, такие как биометрическая верификация или специальное приложение-аутентификатор, которое генерирует коды в приложении на смартфоне пользователя, а не отправляет их по незащищенным телефонным сетям.

Тем не менее двухфакторная аутентификация при помощи SMS-кодов остается наиболее распространенным способом вторичной аутентификации. В качестве альтернативных методов авторизации можно применять биометрические данные, электронные ключи и токены, но эти способы не универсальны, потому что их нельзя использовать на всех устройствах, в отличие от SMS-кодов, приходящих на телефон, который всегда под рукой, считают в компании "Мегафон".

Руководитель Kaspersky GReAT в России Дмитрий Галов отмечает, что в любом случае двухфакторная аутентификация обеспечивает дополнительный уровень защиты и серьезно усложняет злоумышленникам доступ к чужим данным.

"Коды в SMS, которые часто используются для подтверждения в качестве второго фактора, действительно имеют некоторые риски. Например, сообщения могут быть перехвачены. Однако на практике злоумышленники используют более простые схемы и инструменты, чтобы добраться до цели. Среди них - фишинг и заражение устройства потенциальной жертвы вредоносными программами, такими как троянцы", - говорит Галов.

Российские пользователи, использующие SMS для получения одноразовых кодов подтверждения, находятся в большей безопасности, чем европейцы в силу особенностей доставки текстовых сообщений абонентам в РФ.

"Сервисы, предоставляющие услуги генерации одноразовых кодов аутентификации и их отправки, существуют, однако большинство крупных компаний в России разработали собственные решения и не используют аутсорсинг. Безопасность и конфиденциальность передаваемых SMS обеспечивается за счет прямых стыков между оператором и отправителями сообщений. Перехватить такое сообщение с сети оператора невозможно", - заверили "РГ" в компании "Мегафон".