Старые ссылки из сообщений грозят раскрытием личных данных миллионов граждан

Одноразовые ссылки, отправляемые различными онлайн-сервисами в СМС-сообщениях для быстрой авторизации или подтверждения действий, на практике часто сохраняют свою работоспособность в течение длительного времени. Проведенное масштабное исследование продемонстрировало, что такие адреса могут оставаться активными на протяжении нескольких лет. Это создает серьезную угрозу безопасности, так как позволяет посторонним лицам получить несанкционированный доступ к конфиденциальной информации пользователей.

Для проведения анализа эксперты собрали информацию через открытые СМС-шлюзы — сайты, где в публичном доступе отображаются сообщения, приходящие на временные телефонные номера. Как отмечает профильный ресурс Anti-Malware, специалисты изучили огромный массив данных, включающий более 33 млн сообщений, связанных с 30 000 телефонных номеров. В результате автоматизированного анализа было извлечено около 323 000 уникальных ссылок, ведущих на 10 900 различных доменов.

Из всего проверенного объема доступных адресов исследователям удалось обнаружить 701 конечную точку, которая напрямую раскрывала личные сведения граждан. Эти уязвимые ссылки принадлежали 177 различным сервисам. В совершенно свободном доступе оказывались полные имена, телефонные номера, домашние адреса, даты рождения, а также банковские реквизиты, номера социального страхования и данные кредитных карт. Зачастую наличие одной лишь такой ссылки позволяло собрать подробное досье на конкретного человека.

Особое беспокойство у специалистов вызывает длительный срок жизни таких ссылок, так как все обнаруженные уязвимые адреса оставались активными на момент проверки. Более половины из них функционировали от 1 до 2 лет, еще 46% были старше 2 лет, а некоторые датировались 2019 годом. Авторы работы подчеркивают, что чем дольше ссылка остается рабочей, тем выше вероятность утечки информации через пересылку сообщений, сохранившиеся логи, взломанные мобильные устройства или повторное использование телефонных номеров.

Во всех выявленных и подтвержденных случаях доступ к конфиденциальной информации осуществлялся по принципу «ключа», когда сама ссылка не требовала дополнительного ввода пароля или другой аутентификации. В 15 сервисах по таким адресам можно было свободно редактировать личные данные, а в 6 случаях — фактически получить полный контроль над аккаунтом пользователя. Кроме того, около 73% сервисов использовали слабые комбинации символов в адресах, которые исследователи могли подобрать менее чем за 10 попыток.

Специалисты по кибербезопасности уведомили о проблеме 150 компаний, чьи сервисы оказались уязвимыми для подобных атак. Однако обратная связь поступила лишь от 18 организаций, а реальные технические исправления внедрили только 7 из них. По мнению экспертов, доверие к ссылкам в сообщениях как к безопасному каналу остается системной ошибкой, поскольку «пока такие механизмы проектируются ради удобства, а не безопасности, утечки данных будут неизбежны».

Оригинал на MiraNews.ru

Самое читаемое сегодня:

Певица Слава сняла на видео свой отдых и честно показала себя в нетрезвом виде

Европейская компания подала иск в арбитраж против России из-за запуска ракет

Звезда сериалов Елена Торшина, которая снялась в хитах, умерла в 62 года

Календари развели даты, а верующие пытаются сохранить единство духа в Пасху

Обошлось без травм: дочь Дмитрия Маликова сняла видео с загоревшимися волосами