Порядка 1 млн 2FA-кодов очутились в руки анонимных исследователей безопасности. В выборку специалистов попали такие компании, как Google, Meta*, Amazon, европейские банки, приложения Tinder и Snapchat, криптобиржа Binance, а также мессенджеры Signal и WhatsApp.
Фото: pxhere
Около миллиона кодов двухфакторной аутентификации (2FA), отправленных по SMS по всему миру, предположительно были перехвачены анонимным исследователем безопасности, сообщает Bloomberg. Цель – привлечь внимание к уязвимости этого метода защиты аккаунтов.
Коды 2FA проходили через швейцарскую компанию Fink Telecom Services, связанную с разведывательными агентствами и фирмами, занимающимися цифровой слежкой. Исследователь предоставил более миллиона перехваченных кодов, отправленных в июне 2023 года. Источник не раскрыл способ получения данных, но предполагается, что уязвимости в безопасности Fink Telecom и протоколе передачи SMS сыграли роль.
Двухфакторная аутентификация предназначена для защиты учетных записей даже при компрометации пароля. Код может генерироваться приложением-аутентификатором или приходить по SMS. Последний способ уязвим, так как сообщения передаются без шифрования, что позволяет перехватить сообщения в телекоммуникационных сетях.
Среди компаний, чьи 2FA-коды попали в выборку, оказались Google, Meta*, Amazon, европейские банки, приложения Tinder и Snapchat, криптобиржа Binance, а также мессенджеры Signal и WhatsApp. Получатели таких сообщений находятся более чем в 100 странах на пяти континентах.
Ранее Bzzz сообщал, что компания Google решила отказаться от использования SMS для двухфакторной аутентификации в Gmail. Компания планирует заменить этот метод QR-кодами.
*Организация Meta признана экстремистской и запрещена на территории РФ.
