Исследование: разовые SMS-ссылки годами хранят персональные данные пользователей

Эксперты в области кибербезопасности обнаружили критическую уязвимость в системе использования одноразовых SMS-ссылок для аутентификации. Согласно исследованию, такие ссылки, считающиеся безопасными и временными, на деле могут оставаться активными годами, создавая долговременную угрозу конфиденциальности личной информации.

В ходе масштабного анализа 33 миллионов сообщений специалисты идентифицировали более 700 рабочих ссылок, распределенных между 177 различными онлайн-сервисами. Через эти незакрытые каналы злоумышленники потенциально могут получить доступ к широкому спектру конфиденциальных сведений: полным именам, контактным телефонам, физическим адресам, датам рождения, а в некоторых случаях — даже к банковским реквизитам. Тревожным фактом стало то, что значительная часть ссылок продолжала функционировать свыше двух лет, при этом для доступа к данным не требовалось повторной верификации личности.

Исследование также выявило серьезные недоработки в технической реализации защиты. Оказалось, что 73% проанализированных сервисов использовали предсказуемые или ненадежные токены в генерации ссылок. В результате подбор действующего токена и получение несанкционированного доступа к информации в ряде случаев занимал менее десяти попыток.

Несмотря на то, что ответственные исследователи заранее уведомили выявленные компании об опасных уязвимостях, большинство из них не предприняло корректирующих действий и не усилило защиту своих систем.

Эксперты пришли к выводу, что сложившаяся практика безоговорочного доверия к SMS-ссылкам как к безопасному методу аутентификации является ошибочной. Зачастую разработчики и сервисы жертвуют надежностью защиты персональных данных в пользу удобства и скорости пользовательского опыта, что создает системные риски для миллионов людей.