SMS с кодами для двухфакторной аутентификации могут читать посторонние

Для повышения безопасности приложения предлагают защитить аккаунт при помощи 2FA: вместе с паролем нужно ввести ещё и случайный код доступа. Чаще всего такие коды отправляют по SMS, но это оказалось большой дырой в безопасности. Представьте: стандарту, которому уже 32 года, доверяют практически самое сокровенное — безопасность ваших аккаунтов.

Анонимный информатор предоставил Bloomberg данные более 1 миллиона кодов, отправленных в июне 2023 года с помощью швейцарской компании Fink Telecom Services, у которой меньше десяти сотрудников. Это субподрядчик, помогающий рассылать СМС-ки с 2FA-кодами для крупных мессенджеров, сервисов и приложений. Пару лет назад её клиентами были Google, Meta* и Amazon.com, Tinder, Snapchat, Binance, а также мессенджеры Signal и принадлежащий Meta WhatsApp.

А ещё Fink связывали со спецслужбами, шпионажем и взломами аккаунтов видных личностей. Сейчас компания отрицает факт утечки, утверждая, что не анализирует и не вмешивается в трафик, передаваемый клиентами.

Это не локальная проблема. И масла в огонь добавляет то, что никто и никак не регулирует эту сферу. Поэтому компании сами принимают решения, сотрудничать с подобными подрядчиками или нет. Google, например, отказывается от отправки кодов 2FA в SMS. Facebook, принадлежащий Meta, запрещает подрядчикам по отправке кодов сотрудничать в Fink. Но кто знает, сколько ещё таких небольших компаний может пропускать через себя сообщения с чувствительной информацией? Никто, так что никакой веры СМС-кам, пацаны. Только email, пуши в приложениях, коды проверки через аутентификаторы, а также ключи входа, завязанные на вашей биометрии. Короче, только хардкор, ребят.

* Meta признана в РФ экстремистской и запрещена на территории страны.