Найти в Дзене
RS - Инфоканал
2511 подписчиков

Хакеры легко обошли защиту через СМС: ссылки ведут к краже банковских сведений

184
2 мин
Одноразовые ссылки, которые различные сервисы рассылают пользователям по СМС для входа в аккаунт или подтверждения действий, на практике часто оказываются далеко не одноразовыми. Новое исследование показало, что такие адреса могут годами оставаться активными и открывать доступ к конфиденциальной информации граждан. Проблема носит системный характер и ставит под угрозу цифровую безопасность множества людей. Как сообщает портал Anti-Malware, эксперты собрали данные через публичные СМС-шлюзы, где отображаются сообщения, отправленные на временные телефонные номера. В общей сложности специалисты проанализировали более 33 миллионов сообщений, связанных с 30 тысячами номеров. В результате удалось извлечь около 323 тысяч уникальных ссылок, ведущих на 10,9 тысячи доменов. Из огромного массива доступных адресов исследователи выявили 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 различным сервисам. В открытом доступе оказывались имена, номера теле

Одноразовые ссылки, которые различные сервисы рассылают пользователям по СМС для входа в аккаунт или подтверждения действий, на практике часто оказываются далеко не одноразовыми. Новое исследование показало, что такие адреса могут годами оставаться активными и открывать доступ к конфиденциальной информации граждан. Проблема носит системный характер и ставит под угрозу цифровую безопасность множества людей.

Как сообщает портал Anti-Malware, эксперты собрали данные через публичные СМС-шлюзы, где отображаются сообщения, отправленные на временные телефонные номера. В общей сложности специалисты проанализировали более 33 миллионов сообщений, связанных с 30 тысячами номеров. В результате удалось извлечь около 323 тысяч уникальных ссылок, ведущих на 10,9 тысячи доменов.

Из огромного массива доступных адресов исследователи выявили 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 различным сервисам. В открытом доступе оказывались имена, номера телефонов, адреса проживания, даты рождения, банковские реквизиты, номера социального страхования и сведения о кредитах. Во многих случаях одной лишь ссылки было достаточно для сбора подробного досье на человека.

Особую тревогу вызывает срок жизни таких цифровых ключей, поскольку все проверенные 701 URL оставались рабочими на момент исследования. Более половины из них были созданы от 1 до 2 лет назад, ещё 46% оказались старше 2 лет, а некоторые датировались 2019 годом. По словам авторов работы, «чем дольше ссылка остаётся активной, тем выше риск её утечки — через пересылку сообщений, логи, взломанные устройства или повторное использование номеров».

Во всех подтверждённых случаях доступ к информации строился по принципу, когда сама ссылка служила единственным ключом и не требовала дополнительной проверки личности. В 15 сервисах по таким адресам можно было изменять персональные данные, а в 6 случаях — фактически получить полный доступ к аккаунту пользователя. Кроме того, около 73% сервисов использовали ссылки со слабым уровнем защиты, которые можно было легко подобрать.

Авторы исследования уведомили 150 компаний, чьи сервисы оказались уязвимыми для злоумышленников. Однако ответили на предупреждение лишь 18 организаций, а реальные исправления внедрили только 7 из них. Эксперты отмечают, что модель доверия к СМС-ссылкам как к безопасному каналу остается серьезной проблемой, так как подобные механизмы часто проектируются ради удобства клиентов в ущерб их безопасности.

Оригинал статьи.

Самое популярное за сегодня:

Максим Фадеев ведет здоровый образ жизни и показал результат минус 97 килограмм

Евгений Алдонин и его семья ведут борьбу с раком: жена опубликовала фото мужа

Константин Богомолов идет на пост ректора Школы-студии МХАТ

Верующие обсуждают запреты в Татьянин день: нельзя выносить мусор и ссориться

В сети обсуждают скандальный уход танцоров от Булановой в разгар гастролей