Многие онлайн-сервисы — от страховых до рекрутинговых, от дейтинг-сервисов до образовательных платформ — отказались от традиционной пары «логин – пароль». Вместо этого пользователям отправляют SMS со ссылкой для входа. Логика проста: людям не нужно придумывать и помнить пароль, а сервисам — хранить имена и пароли. Однако на деле вариант SMS-рассылки несёт в себе существенные риски для пользователей.
Масштаб угроз: исследование выявило масштабы болезни
Недавнее исследование показало, что эта практика ставит под угрозу конфиденциальность миллионов людей. Учёные обнаружили более 700 конечных точек, рассылающих такие ссылки от имени более 175 сервисов. Для исследования они собрали из общедоступных SMS-шлюзов (сервисы, уполномоченные получать SMS на виртуальные номера): 322 949 уникальных URL из 33 миллионов текстовых сообщений, отправленных на 30 000 номеров.
В чём опасность такой практики
Как оказалось, злоумышленникам достаточно просто получить доступ к аккаунтам пользователей. Из 701 сервиса использовано 125 ссылок, в которых токен легко вычислить подбором. Мошенник берёт ссылку, которую он получил сам, и начинает методично менять токен безопасности (цифры или буквы справа от URL): вместо ABC пробует ABD, вместо 123 пробует 124. Исследователи за несколько инструментов смогли получить доступ к чужим уч��тным записям.
Некоторые сервисы использовали настолько мало возможных комбинаций, что их аккаунты можно было взломать методом перебора. Причём многие из таких ссылок предоставляют доступ к учётной записи на годы после отправки, что только повышает риск несанкционированного доступа.
Ещё один аспект ссылок для входа — возможность перехвата. Дело в том, что SMS отправляются в незашифрованном виде. И ранее исследователи обнаружили общедоступные базы данных со старыми текстовыми сообщениями, содержащими ссылки для аутентификации и конфиденциальные данные. Одно такое открытие, сделанное в 2019 году, включало миллионы сообщений между компанией и клиентами с именами пользователей, аккаунтами, данными заявок на финансирование и маркетинговыми сообщениями.
Что украдено: личные данные в опасности
Согласно исследованию, 701 конечная точка от 177 сервисов передала критичную личную информацию через эти уязвимые ссылки. Злоумышленники могли заполучить:
номера социального страхования;
номера банковских счетов;
кредитные рейтинги и т. д.
Всё это доступно любому, кто просто переберёт токены-ссылки или получит доступ к SMS-архивам.
Молчание в ответ на предупреждение
Исследователи попытались связаться со 150 важными поставщиками услуг. Ответили только 18 компаний. Из них только 7 устранили проблему. Исследователи напрямую обращались к пользователям: «Вы можете помочь: сообщить о проблеме или удалить свои данные, если сумеете их найти на сайте».
Как правильно: стандарты для безопасных ссылок
По мнению специалистов, волшебные ссылки в SMS или на электронную почту — не могут быть автоматически безопасными, если игнорировать три правила:
Короткий срок жизни. Ссылка должна быть действительна не дольше 24 часов или даже меньше.
Одноразовость. Ссылка должна работать только один раз.
Криптографическая защита. Токен должен быть достаточно длинным и случайным (минимум 64 бита энтропии).
Такие сервисы, как DuckDuckGo и 404 Media, уже учитывают этот подход — они отправляют ссылки на электронную почту, которая защищена двухфакторной аутентификацией. Это существенно снижает риск утечки данных.
Дополнительная защита — добавьте второй фактор, помимо самой ссылки, например, пароль (но только достаточно надёжный, не дату рождения). Кроме того, количество попыток входа в систему должно быть ограничено, чтобы предотвратить бесконечные попытки злоумышленника, которые приближают его к взлому.
Главный вывод
Практика широко распространена и вряд ли исчезнет в ближайшее время. Поэтому люди должны понимать, что многие SMS-рассылки, которые они получают, могут раскрыть их конфиденциальные данные — потому что сервисы даже не соблюдают базовых правил безопасности.
