Več kot milijon enkratnih gesel 2FA v nepravih rokah

Švicarsko podjetje Fink Telecom Services imelo nepooblaščen dostop do več kot milijona enkratnih gesel za dvostopenjsko preverjanje pristnosti (2FA), kar razkriva resno varnostno pomanjkljivost uporabe SMS za prijavo v spletne račune.

Po poročanju Bloomberg Businessweek in Lighthouse Reports je podjetje Fink Telecom Services, ki deluje kot posrednik med podjetji in uporabniki pri pošiljanju SMS sporočil, junija 2023 imelo dostop do vsebine več kot milijona 2FA kod. Sporočila so prihajala od velikih tehnoloških podjetij, kot so Google, Meta, Amazon, WhatsApp in Signal, pa tudi od več evropskih bank. Prejemniki so bili v več kot 100 državah. Incident kaže na ranljivost sistema, saj SMS sporočila niso šifrirana, kar omogoča prestrezanje vsebine vmesnim ponudnikom.

Fink je eden izmed mnogih v industriji, ki deluje kot podizvajalec in ni nujno neposredno najet s strani podjetij, ki generirajo kode. To povečuje tveganje, da se občutljivi podatki znajdejo v napačnih rokah, kar je še posebej zaskrbljujoče glede na povezave podjetja z industrijo nadzora. Odkritje dodatno potrjuje, da SMS ni primerna metoda za varno preverjanje identitete. Namesto tega strokovnjaki priporočajo uporabo varnejših alternativ, kot so aplikacije za preverjanje pristnosti (npr. Google Authenticator), biometrični podatki, fizični varnostni ključi in druge metode, ki ne vključujejo prenosov preko nezavarovanih kanalov.