«Одноразовые» SMS-ссылки оказались многоразовыми: анализ 33 млн сообщений показал, что сотни сервисов годами оставляли доступ к личным данным открытым, а компании игнорировали предупреждения
Исследование безопасности выявило критическую уязвимость в широко используемом методе аутентификации. Оказалось, что одноразовые SMS-ссылки, которые пользователи получают для доступа к сервисам, могут оставаться активными в течение нескольких лет, пишут СМИ.
В ходе масштабного анализа, охватившего 33 миллиона сообщений, эксперты обнаружили более 700 активных ссылок от 177 различных сервисов. Вместо одноразового доступа они предоставляли постоянный или длительный доступ к конфиденциальным данным.
Через эти уязвимые ссылки можно было получить имена, номера телефонов, адреса, даты рождения и даже банковские реквизиты. Поразительно, что многие ссылки сохраняли работоспособность более двух лет и не требовали дополнительной проверки личности.
Специалисты отметили, что 73% проанализированных сервисов использовали недостаточно надёжные токены в своих ссылках, что делало их лёгкой мишенью для подбора. В ряде случаев исследователям удалось получить несанкционированный доступ к данным менее чем за десять попыток.
Проблема была доведена до сведения 150 компаний, чьи сервисы оказались под угрозой. Однако лишь 18 из них отреагировали на предупреждение, и только семь организаций внесли реальные изменения в свои системы безопасности.
Авторы исследования подчёркивают, что текущее доверие к SMS-ссылкам как к безопасному средству аутентификации является серьёзной ошибкой. Разработчики часто фокусируются на удобстве использования в ущерб защите данных, что делает утечки информации неизбежными. Этот подход вызывает серьёзную озабоченность как у пользователей, так и у экспертов по кибербезопасности.