Введите код из СMС💬
Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона. 📞
Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные. Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.
Представим ситуацию: пользователь по каким-то причинам перестает пользоваться SIM-картой, через какое-то время она будет заблокирована, а дальше этот номер снова поступит в продажу.
Наш партнер компания, специализирующаяся на киберзащите Positive Technologies (https://t.me/Positive_Technologies) провели исследование.
❓Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?
Если коротко:
⚫️Для 43% номеров, использованных в ходе эксперимента, обнаружены аккаунты, созданные прежними владельцами, причем для 37% номеров эти аккаунты были активными (не были заблокированы).
⚫️Каждое третье приложение (12 из 38) позволяло применить технику user enumeration; проверку на наличие аккаунтов удалось частично автоматизировать, что дало возможность сократить время проведения эксперимента.
⚫️Четыре аккаунта имели принадлежность к маркетплейсу.
⚫️Не была получена возможность доступа ни в один банковский аккаунт.
⚫️Только один из пяти мобильных операторов обнаруживал вредоносную активность и блокировал попытки входа.
О том как проходил эксперимент вы можете посмотреть на сайте Positive Technologies
❓А как вы думаете, регистрация по номеру телефона является безопасной? Пишите в комментариях ⤵️