Кибербез без цензуры
Image

Кибербез без цензуры

Погружаемся в серые схемы и даркнет, чтобы показать вам изнанку цифрового мира без купюр и морали.

Вход «в один клик» – и на одного взломанного больше. Как ваша лень помогает мошенникам воровать данные

SMS вход утечка данных Magic Link безопасность
Вход «в один клик» – и на одного взломанного больше. Как ваша лень помогает мошенникам воровать данные
SMS вход утечка данных Magic Link безопасность

Сотни онлайн-сервисов позволяют взламывать аккаунты через уязвимости в SMS-ссылках.

image

Получить доступ к аккаунту сегодня можно буквально в один клик по ссылке из SMS. Удобно, быстро и без паролей. Но именно эта простота, как выяснили исследователи, стала серьезной угрозой для конфиденциальности миллионов людей по всему миру.

Исследование показало, что сайты, которые авторизуют пользователей через ссылки и коды из текстовых сообщений, массово подвергают их риску мошенничества, кражи личности и утечек персональных данных. Речь идет о самых обычных сервисах: платформах с вакансиями, сайтах с расчетом страховых тарифов, сервисах по поиску нянь для животных, репетиторов и других повседневных услугах. Вместо логина и пароля пользователю предлагают ввести номер телефона, а при входе в аккаунт система присылает ссылку или код по SMS.

Проблема в том, что во многих случаях такие ссылки устроены крайне небезопасно. Ученые обнаружили более 700 технических точек, через которые SMS-сообщения рассылаются от имени 175 сервисов. Во многих из них используются легко угадываемые токены в ссылках. Достаточно изменить несколько символов в адресе, и можно получить доступ к чужому аккаунту. Исследователи на практике смогли просматривать личные данные других пользователей, включая частично заполненные страховые анкеты, а в отдельных случаях теоретически могли совершать действия от их имени.

Некоторые сервисы использовали настолько примитивные комбинации кодов, что их можно было перебрать автоматически. В других случаях ссылка из SMS сама по себе давала полный доступ к данным без какой-либо дополнительной проверки. Более того, часть таких ссылок оставалась рабочей годами после отправки, что еще сильнее увеличивает риск несанкционированного доступа.

Ситуацию усугубляет то, что SMS-сообщения не шифруются. В 2019 году специалисты уже находили открытые базы данных с миллионами сохраненных сообщений, где хранились ссылки для входа, имена, адреса, логины, пароли, финансовые заявки и другие конфиденциальные данные.

В рамках исследования было собрано более 322 000 уникальных ссылок из 33 миллионов SMS, отправленных на более чем 30 000 номеров. В 701 случае речь шла о сервисах, которые раскрывали критически важные персональные данные: даты рождения, номера банковских счетов, кредитные рейтинги и даже номера социального страхования. У 125 сервисов была выявлена возможность массового перебора ссылок из-за слишком слабых алгоритмов генерации токенов.

Авторы работы подчеркивают, что реальные масштабы проблемы, скорее всего, гораздо больше. Они изучали только публичные SMS-шлюзы, где люди могут принимать сообщения на временные номера, не раскрывая свой телефон. Примеры таких шлюзов можно найти здесь и здесь. Это дает лишь ограниченное представление о том, насколько широко используется такая небезопасная схема авторизации.

Исследователи прямо говорят, что основная ответственность лежит на самих сервисах, а не на пользователях. Людям сложно защититься, потому что среди уязвимых платформ есть и крупные, известные компании с миллионами клиентов. Пользователям остается только сообщать о проблемах сервисам и удалять свои данные, если становится понятно, что защита реализована небезопасно.

При этом сама идея «магических ссылок» не является злом по умолчанию. Если они имеют криптографически стойкий токен, одноразовое использование и жесткое ограничение по времени, такой механизм может быть относительно безопасным. Некоторые сайты используют подобную авторизацию через email, где ссылка действует ограниченное время и дополнительно защищена двухфакторной аутентификацией почты. Однако для крупных сервисов, банков и почтовых платформ такие методы считаются неприемлемыми из-за объемов хранимых данных и сложности восстановления доступа.

Исследование показывает, что повышение удобства для пользователя все чаще побеждает безопасность. При этом из 150 компаний, с которыми ученые попытались связаться, ответили лишь 18, а реальные исправления внесли только семь.

Пока практика входа по ссылке из SMS продолжает распространяться, пользователям стоит понимать, что такие сообщения могут быть не просто способом входа в аккаунт, а потенциальной точкой утечки их самых чувствительных данных. И, судя по реакции индустрии, быстро эта проблема никуда не исчезнет.