Нов извештај покажува дека околу милион двофакторски кодови за автентикација (2FA) испратени преку „SMS“ пораки веројатно биле пресретнати.
Свиркач од технолошката индустрија открил дека безбедносните кодови „2FA“ биле пренесувани преку непозната странска компанија со врски со владини разузнавачки агенции и фирми за дигитален надзор.
Двофакторските кодови за автентикација се дизајнирани да ги заштитат вашите сметки дури и ако хакерите дојдат до вашите информации за најавување. Ако имате овозможено „2FA“, откако ќе ја внесете вашата лозинка, ќе бидете замолени за шестцифрен код за да го потврдите вашиот идентитет.
Тој код може да биде генериран од апликација за автентикација што генерира привремени кодови поврзани со вашата сметка или може да се испрати преку „SMS“ на вашиот регистриран телефонски број.
Проблемот со „SMS“ е што „SMS“ комуникациите не се шифрирани, што ги прави овие кодови ранливи на пресретнување преку телекомуникациски мрежи.
Свиркачот излезе јавно и ја пријави програмата за пресретнување, обезбедувајќи му на „Bloomberg“ докази за да ги поддржи тврдењата.
Тој обезбеди доверливи податоци од телекомуникациски мрежи поврзани со околу милион пораки што носеа „2FA“ кодови во текот на јуни 2023-та година. Секоја од тие пораки помина низ рацете на непозната швајцарска компанија наречена „Fink Telecom Services“. Компанијата и нејзиниот основач работеа со разузнавачки агенции и компании вклучени во надзор на мобилни телефони и следење на локацијата на корисниците.
Испраќачите ги вклучуваа „Google“, „Meta“, „Amazon“, неколку европски банки, популарни апликации како „Tinder“ и „Snapchat“, крипто берзата „Binance“ и шифрирани комуникациски платформи како „Signal“ и „WhatsApp“. Целните примачи беа лоцирани во повеќе од 100 земји на пет континенти.
Ова значи дека хакер – вклучувајќи владини агенции – со пристап до вашето корисничко име и лозинка може успешно да се најави на вашите сметки дури и кога „2FA“ е овозможено.
Финансискиот директор на „Fink“ тврди дека компанијата сега обезбедува само „услуги за рутирање“ и „веќе не е вклучена во надзор“. Сепак, експертите за безбедност го поврзаа „Fink“ со случаи каде што „2FA“ кодови испратени преку „SMS“ се користени за провала во сметки.
Ова е уште еден пример зошто секогаш треба да користите апликација за автентикација наместо „SMS“ пораки за „2FA“ кодови. Уште побезбедна опција се „лозинките“, кои користат „Face ID“ или „Touch ID“ за локална автентикација, а лозинката воопшто не се испраќа до веб-страницата или апликацијата.
