Autentificarea în doi pași (2FA) este considerată de mulți o măsură esențială de protecție împotriva accesului neautorizat. Totuși, metoda populară de trimitere a codurilor prin SMS este tot mai des contestată, în special din cauza vulnerabilităților sistemice asociate cu operatorii terți.
Un nou raport publicat de Bloomberg scoate la lumină riscurile implicate. Un avertizor de integritate din industrie a furnizat publicației un set de aproximativ un milion de mesaje SMS cu coduri 2FA transmise în iunie 2023. Acestea au fost procesate de Fink Telecom Services, o companie elvețiană cu un istoric controversat în materie de supraveghere.
Conform datelor, mesajele conțineau nu doar coduri de autentificare generate automat, ci și informații despre traseul parcurs de fiecare mesaj, de la expeditor la destinatar. Printre companiile afectate se numără nume importante din tehnologie: Amazon, Google, Meta, WhatsApp, Signal, Snapchat, Tinder și altele.
Publicația americană a verificat autenticitatea scurgerii cu experți independenți, care au confirmat că datele par legitime. CEO-ul Fink Telecom, Andreas Fink, a declarat că firma nu mai are activități legate de supraveghere și că reglementările legale nu permit accesul la conținutul mesajelor procesate.
Problema SMS-ului în autentificare
Trimiterea codurilor 2FA prin SMS rămâne una dintre cele mai utilizate metode de autentificare, însă securitatea acestui canal este fragilă. Codurile pot fi interceptate, redirecționate prin atacuri de tip SIM swap sau compromise prin furnizori de rețea nesiguri.
De altfel, nu este prima dată când sunt semnalate probleme majore. În mai 2024, Valve a confirmat că datele de autentificare prin SMS, inclusiv numerele de telefon ale utilizatorilor Steam, au fost accesate de hackeri, expunând conturi la riscuri reale.
Soluții mai sigure: aplicații sau metode biometrice
Experții în securitate recomandă utilizatorilor să evite, pe cât posibil, autentificarea prin SMS. O alternativă mai sigură este utilizarea unei aplicații dedicate de autentificare, precum Google Authenticator sau Microsoft Authenticator. Aceste aplicații generează coduri direct pe dispozitivul utilizatorului, fără a apela la intermediari de rețea.
O altă variantă este autentificarea biometrică (amprentă, recunoaștere facială) sau folosirea unor dispozitive hardware dedicate (dongle de securitate, precum YubiKey), care elimină complet vulnerabilitățile rețelelor de telefonie mobilă.
Concluzie
Într-un peisaj digital marcat de breșe tot mai sofisticate, metodele tradiționale de protecție devin insuficiente. Incidentul legat de Fink Telecom reamintește faptul că orice verigă slabă din lanțul de autentificare poate compromite întregul sistem. Utilizatorii ar trebui să reevalueze metodele de securitate folosite și să opteze pentru soluții care minimizează riscul de interceptare.
