Θα περίμενε κανείς πως με το αυθεντικοποίηση 2 παραγόντων (2FA) θα είμασταν ασφαλείς, όμως από ότι φαίνεται δεν είναι στο χέρι ούτε το δικό μας, ούτε και στο χέρι των εταιριών τεχνολογίας απόλυτα, όταν πρόκειται για επιβεβαίωση μέσω SMS.
Καμία από τις εταιρείες τεχνολογίας δεν έχουν τηλεφωνικούς παρόχους. Αντί για αυτό, έχουν συνεργασία με διάφορους παρόχους ανά τον κόσμο, που αναλαμβάνουν την αποστολή των κωδικών 2FA, με τα μηνύματα να περνάνε μέσα από ένα πλήθος μεσαζόντων, πριν φτάσουν στον προορισμό τους, τον κινητό μας. Λόγω των εγγενών αδυναμιών στα SMS – το τεχνολογικό πρότυπο δεκαετιών που χρησιμοποιείται για τα μηνύματα κειμένου – είναι δυνατό για τις οντότητες που χειρίζονται τέτοια μηνύματα να δουν το περιεχόμενό τους. Αλλά η πολυπλοκότητα του συστήματος σημαίνει ότι ούτε ο αποστολέας ούτε ο παραλήπτης μπορούν να είναι σίγουροι ακριβώς ποιος τα χειρίστηκε στην πορεία.
Ένας πληροφοριοδότης που επιθυμεί να παραμείνει ανώνυμος, παρείχε στο Bloomberg Businessweek και στο ερευνητικό ειδησεογραφικό γραφείο Lighthouse Reports μη δημόσια δεδομένα τηλεφωνικών δικτύων που σχετίζονται με μια παρτίδα περίπου 1 εκατομμυρίου μηνυμάτων που περιείχαν κωδικούς επαλήθευσης δύο παραγόντων που στάλθηκαν τον Ιούνιο του 2023. Όλα τα μηνύματα περάσαν από μια άγνωστη ελβετική εταιρεία με το όνομα Fink Telecom Services, μιας εταιρείας που ο ιδρυτής της έχει συνεργαστεί με κυβερνητικές υπηρεσίες κατασκοπίας, για την παρακολούθηση κινητών τηλεφώνων και της τοποθεσίας τους. Ερευνητές κυβερνοασφάλειας και ερευνητικοί δημοσιογράφοι έχουν δημοσιεύσει αναφορές που ισχυρίζονται ότι η Fink εμπλέκεται σε πολλαπλές περιπτώσεις διείσδυσης ιδιωτικών διαδικτυακών λογαριασμών.
Μέσα στα δεδομένα υπήρχαν τα μηνύματα με τους κωδικούς αυθεντικοποίησης για πληθώρα εφαρμογών και λογαριασμών. Μέσα σε αυτά υπήρχαν μηνύματα την google, την Meta και το Amazon, όπως επίσης και αρκετές τράπεζες της Ευρώπης και άλλες δημοφιλείς εφαρμογές. Ακόμα και πλατφόρμες όπως το Signal και το WhatsApp, που θεωρούνται ασφαλείς, έστελναν τους 2FA κωδικούς, μέσω αυτών των δικτύων.
Βγάλε άμεσα μετρητά – υπάρχει λόγος
Το Businessweek επαλήθευσε την εγκυρότητα των πληροφοριών, εξετάζοντας τα αρχεία με ανεξάρτητους εμπειρογνώμονες, διασταυρώνοντας πτυχές τους με άλλα δημόσια διαθέσιμα δεδομένα.
Σύμφωνα με τα δεδομένα, οι κωδικοί 2FA αφορούσαν χρήστες σε πάνω από 100 χώρες. Αυτό δείχνει με τον καλύτερο τρόπο πως οι μεγάλες εταιρείες τεχνολογίας δεν κάνουν αρκετά καλή δουλειά στην επιμέλεια της αλυσίδας εφοδιασμού τους, για αυτές τις υπηρεσίες.
Ο Andreas Fink, είναι πρώην μηχανικός της Cisco και έφυγε από την εταιρεία για να ξεκινήσει την Fink. Παρά το μέγεθός της —έχει λιγότερους από 10 υπαλλήλους— έχει καταφέρει να κλείσει συμφωνίες με κυβερνητικούς εργολάβους που ενδιαφέρονται για διάφορα είδη τεχνολογικής επιτήρησης. Φυσικά η Fink αρνείται τις κατηγορίες.
Όπως όλα δείχνουν, από εδώ και πέρα θα πρέπει να βασιζόμαστε περισσότερο σε άλλες εφαρμογές αυθεντικοποίησης, αλλά και σε passkeys, που η ταυτοποίηση γίνεται βιομετρικά και τοπικά στη συσκευή μας, χωρίς την ανάγκη αποστολής SMS.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
