Вход «в один клик» – и на одного взломанного больше. Как ваша лень помогает мошенникам воровать данные
NewsMakerСотни онлайн-сервисов позволяют взламывать аккаунты через уязвимости в SMS-ссылках.
Получить доступ к аккаунту сегодня можно буквально в один клик по ссылке из SMS. Удобно, быстро и без паролей. Но именно эта простота, как выяснили исследователи, стала серьезной угрозой для конфиденциальности миллионов людей по всему миру.
Исследование показало , что сайты, которые авторизуют пользователей через ссылки и коды из текстовых сообщений, массово подвергают их риску мошенничества, кражи личности и утечек персональных данных. Речь идет о самых обычных сервисах: платформах с вакансиями, сайтах с расчетом страховых тарифов, сервисах по поиску нянь для животных, репетиторов и других повседневных услугах. Вместо логина и пароля пользователю предлагают ввести номер телефона, а при входе в аккаунт система присылает ссылку или код по SMS.
Проблема в том, что во многих случаях такие ссылки устроены крайне небезопасно. Ученые обнаружили более 700 технических точек, через которые SMS-сообщения рассылаются от имени 175 сервисов. Во многих из них используются легко угадываемые токены в ссылках. Достаточно изменить несколько символов в адресе, и можно получить доступ к чужому аккаунту. Исследователи на практике смогли просматривать личные данные других пользователей, включая частично заполненные страховые анкеты, а в отдельных случаях теоретически могли совершать действия от их имени.
Некоторые сервисы использовали настолько примитивные комбинации кодов, что их можно было перебрать автоматически. В других случаях ссылка из SMS сама по себе давала полный доступ к данным без какой-либо дополнительной проверки. Более того, часть таких ссылок оставалась рабочей годами после отправки, что еще сильнее увеличивает риск несанкционированного доступа.
Получить доступ к аккаунту сегодня можно буквально в один клик по ссылке из SMS. Удобно, быстро и без паролей. Но именно эта простота, как выяснили исследователи, стала серьезной угрозой для конфиденциальности миллионов людей по всему миру.
Исследование показало , что сайты, которые авторизуют пользователей через ссылки и коды из текстовых сообщений, массово подвергают их риску мошенничества, кражи личности и утечек персональных данных. Речь идет о самых обычных сервисах: платформах с вакансиями, сайтах с расчетом страховых тарифов, сервисах по поиску нянь для животных, репетиторов и других повседневных услугах. Вместо логина и пароля пользователю предлагают ввести номер телефона, а при входе в аккаунт система присылает ссылку или код по SMS.
Проблема в том, что во многих случаях такие ссылки устроены крайне небезопасно. Ученые обнаружили более 700 технических точек, через которые SMS-сообщения рассылаются от имени 175 сервисов. Во многих из них используются легко угадываемые токены в ссылках. Достаточно изменить несколько символов в адресе, и можно получить доступ к чужому аккаунту. Исследователи на практике смогли просматривать личные данные других пользователей, включая частично заполненные страховые анкеты, а в отдельных случаях теоретически могли совершать действия от их имени.
Некоторые сервисы использовали настолько примитивные комбинации кодов, что их можно было перебрать автоматически. В других случаях ссылка из SMS сама по себе давала полный доступ к данным без какой-либо дополнительной проверки. Более того, часть таких ссылок оставалась рабочей годами после отправки, что еще сильнее увеличивает риск несанкционированного доступа.