„Jednorazowe” linki SMS działają latami i narażają dane osobowe

Nowe badanie pokazuje, że „jednorazowe” linki wysyłane SMS-em często działają latami, a sam link bywa jedynym kluczem do wrażliwych danych osobowych.

Badacze przeanalizowali ponad 33 mln SMS-ów z publicznych bramek i wyodrębnili setki tysięcy linków prowadzących do usług weryfikacyjnych i paneli użytkowników. W 701 przypadkach same URL-e dawały dostęp do danych osobowych – bez dodatkowego uwierzytelnienia.

Problemem okazał się model „bearer link”: kto ma link, ten ma dostęp. Co gorsza, ponad połowa aktywnych odnośników miała 1–2 lata, a niemal połowa była starsza niż 2 lata. Trafiały się też linki z 2019 roku, wciąż działające.

Zakres ujawnionych danych był szeroki – od imion i numerów telefonów po adresy, daty urodzenia, a nawet informacje finansowe. W części usług możliwa była edycja danych lub pełne przejęcie konta. Dodatkowe informacje często „chowały się” w odpowiedziach API, widocznych dopiero w ruchu sieciowym.

Badanie podważa założenie, że SMS stanowi bezpieczną granicę zaufania. Bez krótkiego czasu życia linków, silnych tokenów i dodatkowej weryfikacji, wygoda szybko zamienia się w długoterminowe ryzyko bezpieczeństwa.

Źródło:
HelpNetSecurity

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps