Двухфакторная аутентификация (2FA) давно считается одним из самых эффективных способов защиты аккаунтов от несанкционированного доступа. Однако даже эта система не лишена слабых мест — особенно если используется SMS для доставки одноразовых кодов.
Проблема в SMS
Один из самых распространённых методов 2FA — отправка кода подтверждения по SMS. Пользователь вводит код, и получает доступ к сервису. Но в этой схеме есть критическая уязвимость: сообщения проходят через внешние посредники, и зачастую невозможно гарантировать, кто именно имел к ним доступ до того, как они дошли до получателя.
Как сообщает Bloomberg, в июне 2023 года через швейцарскую компанию Fink Telecom Services прошло около одного миллиона сообщений, содержащих коды двухфакторной аутентификации. Эти данные были переданы журналистам отраслевым информатором и включали не только коды входа, но и техническую информацию о маршруте сообщений.
Отправителями числились крупнейшие мировые компании: Amazon, Google, Meta, Signal, WhatsApp, Snapchat, Tinder и другие. Эксперты подтвердили подлинность информации, сравнив её с открытыми данными.
Генеральный директор Fink Telecom Андреас Финк заявил, что его компания не имеет права просматривать содержимое сообщений из-за юридических ограничений. Также он отметил, что фирма больше не занимается деятельностью, связанной с наблюдением.
Тем не менее инцидент подчёркивает риски, связанные с выбором ненадёжных партнёров для обработки 2FA.
Безопасные альтернативы
Эксперты рекомендуют отказаться от SMS-кодов в пользу более надёжных решений:
- Биометрическая аутентификация (отпечаток пальца, распознавание лица)
- Аутентификаторы, такие как Google Authenticator или аппаратные токены (например, YubiKey)
Эти методы работают локально и не зависят от сторонних посредников.
Это не первый случай компрометации системы 2FA через SMS. Всего месяц назад компания Valve сообщила, что хакеры получили доступ к номерам телефонов и SMS-кодам 2FA большинства аккаунтов. Пользователям рекомендовано сменить пароли и перейти на безопасные методы аутентификации.
