SMS для Google и Meta? Перешлём через Намибию, Чечню и швейцарский гараж

В 2023 году миллионы людей по всему миру получили одноразовые коды подтверждения входа от таких компаний, как Google, Meta*, Amazon и Binance. Эти сообщения, по данным расследования Bloomberg Businessweek и Lighthouse Reports, проходили через руки малозаметной швейцарской компании Fink Telecom Services. Несмотря на свой микроскопический размер — менее 10 сотрудников — структура оказалась способна обрабатывать и, потенциально, видеть конфиденциальные данные сотен тысяч пользователей.

Механизм двухфакторной аутентификации , в котором код подтверждения присылается по SMS, уже давно вызывает опасения в сфере цифровой безопасности. Проблема в том, что сами компании, отправляющие эти коды, почти никогда не делают это напрямую. Обычно они передают сообщения целой цепочке посредников — от крупных операторов до малоизвестных компаний, предлагающих маршруты подешевле. В этой запутанной структуре у отправителя нет гарантий, кто именно будет обрабатывать сообщение до момента доставки.

В июне 2023 года около миллиона таких сообщений с одноразовыми кодами прошли через инфраструктуру Fink Telecom. Это были сообщения от крупнейших технологических корпораций, европейских банков, мессенджеров Signal и WhatsApp, а также от криптобиржи Binance. Получатели находились в более чем 100 странах. Все эти данные были предоставлены журналистам анонимным информатором, а затем верифицированы независимыми техническими специалистами.

Интерес к Fink Telecom возник не случайно. Её основатель, Андреас Финк, ранее работал с государственными структурами и подрядчиками в сфере наблюдения. Согласно публикациям в СМИ и отчётам специалистов, компании, связанные с Финком, участвовали в атаках на аккаунты пользователей, перехватывая SMS-коды и получая доступ к личным данным.

Так, в 2020 году в Израиле произошла серия взломов криптовалютных кошельков и почтовых ящиков. По итогам расследования выяснилось, что трафик перехватывался через глобальный заголовок, зарегистрированный на компанию SMSRelay — ещё одну структуру, основанную Финком. Несмотря на заявления о закрытии SMSRelay в 2016 году, её ресурсы, как показывает анализ данных, оставались активны до 2023 года.

Журналисты также выяснили, что Fink Telecom владела или арендовала глобальные заголовки ( global titles ) — специальные технические идентификаторы, используемые для связи между мобильными сетями — в Швейцарии, Великобритании, Намибии и Чеченской Республике. Международная организация GSMA ещё в 2023 году выпустила рекомендации избегать аренды данных идентификаторов, указывая на высокий риск злоупотреблений. В Великобритании регуляторы уже запретили подобные практики.

Сам Финк в переписке с журналистами отверг обвинения, заявив, что его компания больше не участвует в деятельности, связанной с наблюдением, и что она просто предоставляет технические услуги, не анализируя содержимое сообщений. Однако, как показывает расследование, именно многоуровневая система субподрядов делает такие заявления трудно проверяемыми. Генерирующие код компании, вроде Google и Meta*, напрямую не сотрудничают с Fink Telecom — их партнёры просто делегируют задачи другим, часто не проверяя, кому именно.

В итоге крупные компании оказываются в ситуации, когда не могут гарантировать безопасность сообщений, которые предназначены для защиты учётных записей пользователей. Представители Google подтвердили, что уходят от использования SMS в сторону QR-кодов и других методов. Signal уже внедрил защиту, требующую дополнительный PIN для активации на новом устройстве. Meta* уведомила партнёров о недопустимости взаимодействия с Fink Telecom при оказании услуг компании и её филиалам.

Несмотря на то, что рынок доставки SMS-аутентификаций оценивается в $30 миллиардов и активно используется во всём мире, эксперты всё чаще называют такую модель устаревшей и опасной. Слабая регуляция, лёгкость входа в бизнес и технические уязвимости делают возможным перехват сообщений даже структурами с минимальным штатом. А те, кто проектирует системы безопасности, продолжают надеяться, что простой текст «не делитесь этим кодом» — достаточная защита.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.