Одноразовые СМС-ссылки годами открывают доступ к данным и грозят утечкой

Исследователи выяснили, что одноразовые СМС-ссылки часто не являются одноразовыми и годами остаются активными, открывая доступ к персональным данным пользователей.

Анализ 33 млн СМС-сообщений выявил свыше 700 конечный точек от 177 сервисов, раскрывающих имена, телефоны, адреса, даты рождения, банковские реквизиты и другую личную информацию пользователей. Многие ссылки были старше двух лет и не требовали дополнительной аутентификации. 73% сервисов использовали слабые токены, предоставляющие злоумышленникам возможность хищения личных данных пользователей.

В ряде ситуаций исследователи смогли получить несанкционированный доступ к чужим данным менее чем за десять попыток. Авторы исследования сообщили о проблеме 150 компаниям, чьи сервисы были признаны уязвимыми. Ответили только 18, фактические исправления внесли лишь 7 из них.

По мнению исследователей, сама концепция доверия к SMS-ссылкам как к «безопасному» способу коммуникации остается системной проблемой. Пока такие механизмы создаются в первую очередь для удобства, а не для обеспечения безопасности, утечки информации являются неизбежными.