Технология, призванная обеспечивать безопасный доступ, обернулась масштабной угрозой для конфиденциальности миллионов пользователей.
Исследование безопасности одноразовых СМС-ссылок, которые сервисы рассылают для входа, подтверждения заказов или сброса пароля, выявило критическую уязвимость.
Эти ссылки, позиционируемые как временные и защищённые, на деле часто остаются активными в течение многих лет, превращаясь в сквозную дверь к персональным данным.
Анализ огромного массива данных, включавшего 33 миллиона сообщений, позволил экспертам обнаружить более 700 активных конечных точек, связанных с 177 различными онлайн-сервисами.
Через эти не закрытые вовремя ссылки можно было получить доступ к именам пользователей, номерам телефонов, почтовым адресам, датам рождения и даже банковской информации.
Парадокс ситуации в том, что доступ не требовал дополнительной аутентификации — обладатель старой ссылки, даже если он был не тем, кому она предназначалась изначально, получал полный контроль над чужими данными.
Глубину проблемы усугубляет методика генерации этих ссылок. По оценкам исследователей, 73% проанализированных сервисов использовали слабые, предсказуемые токены в адресах.
Это означало, что злоумышленник, даже не имея на руках оригинального СМС, мог методом простого подбора сгенерировать рабочую ссылку и получить несанкционированный доступ к аккаунту случайного человека.
В отдельных особо тревожных случаях для такого взлома требовалось менее десяти попыток, что делало атаку тривиальной для любого, обладающего базовыми техническими навыками.
Наиболее показательной частью исследования стала реакция индустрии на выявленные риски. Авторы работы связались со 150 компаниями, чьи системы оказались уязвимыми, чтобы сообщить об опасных брешах.
Ответили на предупреждения лишь 18 организаций, а реальные исправления в своих процессах внесли и того меньше — только семь. Такое игнорирование со стороны бизнеса эксперты называют ключевой причиной перманентного кризиса с утечками данных.
По мнению авторов исследования, корень проблемы лежит в фундаментальном несоответствии. Доверие пользователей и регуляторов к СМС-ссылкам как к безопасному каналу коммуникации является системной ошибкой.
В погоне за удобством и скоростью внедрения функций разработчики сознательно жертвуют базовыми принципами безопасности, такими как обязательное ограничение времени жизни одноразовой ссылки и использование криптографически стойких методов её генерации.
Пока приоритетом остаётся сиюминутное удобство, а не долгосрочная защита, утечки персональной информации, по мнению экспертов, будут оставаться не досадной случайностью, а неизбежным следствием работы всей цифровой экосистемы.
Автор: Валерия Кистерная
