| 17 июня 2025 г. — 4:27 утра по тихоокеанскому времени
Согласно новому отчету, было перехвачено около миллиона кодов двухфакторной аутентификации, отправленных по SMS.
Инсайдер из технологической индустрии сообщил, что коды безопасности 2FA проходили через малоизвестную иностранную компанию, связанную с правительственными спецслужбами и компаниями, занимающимися цифровой слежкой…
SMS-коды 2FA
Коды двухфакторной аутентификации (2FA) предназначены для защиты ваших учетных записей, даже если ваши учетные данные были получены хакерами. Если у вас включена 2FA, то после подтверждения пароля вам будет предложено ввести 6-значный код для подтверждения вашей личности.
Этот код может быть предоставлен приложением-аутентификатором с динамическим кодом, связанным с вашей учетной записью, либо веб-сайт или приложение может отправить его вам по SMS на ваш зарегистрированный номер мобильного телефона.
Проблема последнего варианта заключается в том, что SMS-связь совершенно не зашифрована, поэтому эти коды уязвимы для перехвата в телекоммуникационной сети.
Перехвачен миллион кодов
Инсайдер выступил с сообщением о программе перехвата, предоставив Bloomberg доказательства в поддержку этого утверждения.
Инсайдер отрасли предоставил Bloomberg Businessweek и следственному новостному агентству Lighthouse Reports непубличные данные телефонных сетей, относящиеся к партии примерно из 1 миллиона сообщений с кодами двухфакторной аутентификации, отправленных в июне 2023 года.
Каждое из них прошло через малоизвестную швейцарскую компанию Fink Telecom Services. Компания и ее основатель сотрудничали с правительственными спецслужбами и подрядчиками индустрии наблюдения для слежки за мобильными телефонами и отслеживания местоположения пользователей…
Среди отправителей — Google, Meta и Amazon.com, несколько европейских банков, популярные приложения, такие как Tinder и Snapchat, криптовалютная биржа Binance, а также платформы зашифрованных чатов Signal и WhatsApp. Получатели находились более чем в 100 странах на пяти континентах.
Это означает, что хакер, включая государственное агентство, имея доступ к вашему имени пользователя и паролю, мог бы успешно войти в ваши учетные записи, даже если 2FA была включена.
Финансовый директор Fink утверждал, что компания просто предоставляет «маршрутизацию», и «больше не занимается наблюдением». Однако эксперты по безопасности связывают Fink со случаями, когда SMS-коды 2FA использовались для взлома учетных записей.
Мнение 9to5Mac
Это еще один пример того, почему вы всегда должны предпочитать использовать приложение-аутентификатор вместо SMS-сообщений для кодов 2FA. Еще безопаснее — использовать парольные ключи (passkeys), где Face ID или Touch ID используется для локального подтверждения вашей личности, и никакой пароль не отправляется на сайт или в приложение.
Обратите внимание, что Apple использует свою собственную проприетарную систему 2FA, в которой коды отправляются на ваши другие устройства Apple. Этот метод безопасен.
Рекомендуемые аксессуары
- Устройства Amazon Alexa
- Ультракомпактное зарядное устройство Anker 511 Nano Pro для iPhone
- Чехол Spigen MagFit для iPhone 16e — добавляет поддержку MagSafe
- Зарядное устройство Apple MagSafe с мощностью 25 Вт для моделей iPhone 16
- Зарядное устройство Apple 30 Вт для вышеуказанных
- Плетеный кабель Anker 240 Вт USB-C — USB-C
Фото: Gilles Lambert на Unsplash