Ένα εκατομμύριο κωδικοί 2FA στο φως: ο αθέατος μεσάζων που άνοιξε ρωγμή στην ασφάλεια των SMS

Στο φως ήρθε ότι περισσότερα από ένα εκατομμύριο μηνύματα δύο παραγόντων πιστοποίησης (2FA) που στάλθηκαν τον Ιούνιο 2023 διέρρευσαν μέσω της ελβετικής Fink Telecom Services, μιας άγνωστης στο ευρύ κοινό εταιρείας που λειτουργεί ως ενδιάμεσος διανομέας SMS. Τα μηνύματα περιείχαν τόσο τους κωδικούς μίας χρήσης όσο και μεταδεδομένα διαδρομής—πληροφορίες ικανές να χαρτογραφήσουν ποιος πάροχος έστειλε τι και σε ποιον. Η λίστα αποστολέων περιελάμβανε ονόματα-κολοσσούς όπως Amazon, Google, Meta, Snapchat, Tinder, Signal και WhatsApp (Bloomberg).

Η αποκάλυψη αναδεικνύει το διαχρονικό πρόβλημα του SMS ως φορέα ευαίσθητων κωδικών: σχεδόν όλες οι μεγάλες πλατφόρμες αναθέτουν τη διαχείρισή τους σε εξωτερικά aggregators για λόγους κόστους· σε αυτό το στάδιο, όμως, οι κωδικοί περνούν από δίκτυα που συχνά δεν ελέγχονται επαρκώς. Ο διευθύνων σύμβουλος της Fink Telecom, Andreas Fink, υποστήριξε ότι «νομικοί περιορισμοί» δεν τους επιτρέπουν να βλέπουν το περιεχόμενο των SMS, προσθέτοντας πως «δεν δραστηριοποιούμαστε πια στην παρακολούθηση». Τα δεδομένα, ωστόσο, επαληθεύθηκαν από ανεξάρτητους ειδικούς, επιβεβαιώνοντας την αυθεντικότητά τους.

Το περιστατικό έρχεται λίγες εβδομάδες αφότου η Valve παραδέχτηκε παραβίαση που αποκάλυψε αριθμούς τηλεφώνων και SMS-2FA αρχείων της πλειονότητας των λογαριασμών Steam—μια υπενθύμιση πως το αδύναμο σημείο δεν είναι πάντα ο χρήστης αλλά η ίδια η αλυσίδα διάδοσης των κωδικών (TechSpot).

Όσοι επιμένουν στην ασφάλεια καλούνται να στραφούν σε πιο στιβαρά μέσα: εφαρμογές ελέγχου ταυτότητας που παράγουν τους κωδικούς τοπικά ή φυσικά κλειδιά FIDO-U2F, ενώ για ευαίσθητους λογαριασμούς η βιομετρική επαλήθευση προσφέρει πρόσθετη θωράκιση. Μέχρι οι πάροχοι να εγκαταλείψουν οριστικά τα SMS ως δεύτερο παράγοντα, ο χρήστης παραμένει εκτεθειμένος στη «σιωπηλή» αδυναμία κάθε ενδιάμεσου που θα περάσει ο κωδικός του.