Для успешного взлома, злоумышленнику нужно знать всего лишь номер телефона!
У сервисов PayPal и Venmo возможно сбросить пароль с помощью текстового сообщений, доставляемого на телефон, злоумышленник может провести атаку SIM swapping и получить контроль над аккаунтом пользователя.
SIM swapping - это мошенничество с заменой SIM-карт, данный тип реализуется с захватом учетной записи, который обычно нацелен на слабость в двухфакторной аутентификации и двухэтапной проверке, в которой вторым фактором или шагом является текстовое сообщение или звонок, поступающий на мобильный телефон.
Одноразовые телефонные пароли являются распространенным методом аутентификации. Они обычно используются в качестве одного из нескольких факторов аутентификации, в качестве резервной опции аутентификации или в качестве метода восстановления аккаунта.
Пароль может быть выслан на телефон пользователя с помощью текстового сообщения SMS, телефонного звонка, электронной почты Email, или приложение для проверки подлинности.
Отметим, что многие злоумышленники могут получить доступ к дополнительной информации, которая может быть использована для обхода проблем с аунтефикацией через телефон.
На данную проблему безопасности обратили внимание специалисты Принстонского университета. Исследователи сообщили о 17 затронутых компаниях, среди них eBay, Venmo, Paypal, Amazon, Blizzard, Adobe, Yahoo и Snapchat.
Специалисты сообщают о том что многие компании не понимают, что речь идёт об уязвимости в их механизме аутентификации. Они считают, что проблема на стороне операторов связи.
С вами был Cyber Security. Вот наш канал Telegram.
Мы делаем Web и Интернет в целом интересным и актуальным, лучшая награда за наш труд — это ваша подписка и палец вверх.
А Вы что думаете по поводу данной проблемы безопасности?