Одноразовые СМС-ссылки, как выяснили исследователи, нередко остаются рабочими в течение многих лет и сохраняют доступ к персональной информации пользователей.
Анализ 33 миллионов сообщений показал более 700 активных конечных точек от 177 сервисов, через которые можно было получить имена, номера телефонов, адреса, даты рождения, банковские данные и другие сведения. Многие ссылки существовали более двух лет и не требовали дополнительной проверки личности. По оценке специалистов, 73% сервисов применяли слабые токены, что давало злоумышленникам возможность подобрать ссылку и получить доступ к чужим данным.
В отдельных случаях исследователи получали несанкционированный доступ менее чем за десять попыток. О проблеме сообщили 150 компаниям, чьи сервисы оказались уязвимыми, но ответили только 18, а реальные исправления внесли лишь семь организаций.
По мнению авторов работы, доверие к СМС-ссылкам как к безопасному каналу связи является системной ошибкой. Пока разработчики ориентируются прежде всего на удобство, а не на защиту, утечки персональных данных остаются неизбежными.
Рекомендуем также: