Авторизация в один шаг и ещё одна жертва: как удобство пользователей играет на руку кибермошенникам

Сотни популярных онлайн-платформ допускают взлом пользовательских аккаунтов из-за уязвимостей в механизме авторизации по SMS-ссылкам.

Сегодня для входа в аккаунт во многих сервисах достаточно одного действия — перейти по ссылке, полученной в текстовом сообщении. Без паролей, без лишних шагов и почти мгновенно. Однако именно эта кажущаяся простота, как показало новое исследование, превращается в серьезную угрозу приватности для миллионов пользователей по всему миру.

Анализ показал, что сайты, использующие вход по SMS-кодам и «магическим ссылкам», часто оставляют пользователей беззащитными перед мошенничеством, кражей личности и утечками персональной информации. Речь идет не о редких или нишевых ресурсах, а о повседневных сервисах: сайтах по поиску работы, расчету страховых взносов, подбору нянь для животных, репетиторов и других бытовых услуг. Вместо привычной пары «логин–пароль» пользователю предлагают указать номер телефона, а затем подтвердить вход по ссылке или коду из SMS.

Ключевая проблема заключается в том, что во многих случаях такие ссылки реализованы крайне небрежно. Исследователи выявили более 700 технических узлов, через которые рассылались сообщения от имени 175 различных сервисов. Во множестве случаев токены в ссылках оказывались предсказуемыми. Простая замена нескольких символов в URL позволяла получить доступ к чужому аккаунту. В ходе экспериментов специалисты смогли просматривать персональные данные других пользователей — например, частично заполненные страховые формы — а в отдельных сценариях потенциально выполнять действия от их имени.

Некоторые платформы использовали настолько слабые схемы генерации кодов, что их можно было подбирать автоматически. В других ситуациях одна-единственная ссылка из SMS сразу открывала полный доступ к данным без каких-либо дополнительных проверок. Дополнительный риск создаёт и то, что часть таких ссылок оставалась активной в течение месяцев и даже лет после отправки.

Проблему усугубляет сама природа SMS. Такие сообщения не защищены шифрованием, а значит могут быть перехвачены или утечь из хранилищ. Еще в 2019 году специалисты находили открытые базы данных, содержащие миллионы сохранённых SMS, включая ссылки для входа, имена пользователей, адреса, учетные данные и сведения о финансовых заявках.

В рамках исследования было проанализировано свыше 322 тысяч уникальных ссылок, извлечённых из 33 миллионов SMS, отправленных более чем на 30 тысяч телефонных номеров. В 701 случае речь шла о сервисах, через которые раскрывались критически важные персональные сведения: даты рождения, банковские реквизиты, кредитные показатели и даже номера социального страхования. Для 125 платформ была подтверждена возможность массового перебора ссылок из-за крайне слабых алгоритмов генерации токенов.

Авторы исследования подчёркивают, что обнаруженные случаи — лишь вершина айсберга. Анализ проводился только на основе публичных SMS-шлюзов, позволяющих принимать сообщения на временные номера. Такие сервисы дают лишь ограниченное представление о реальном масштабе проблемы, поскольку большинство SMS передаётся через закрытые каналы операторов связи.

При этом исследователи отмечают: ответственность за ситуацию лежит прежде всего на самих сервисах, а не на пользователях. Люди часто даже не подозревают о риске, поскольку уязвимости встречаются и у крупных, известных компаний с многомиллионной аудиторией. Максимум, что могут сделать пользователи, — сообщать о проблемах и удалять свои данные, если становится ясно, что защита реализована ненадёжно.

Сама по себе концепция «магических ссылок» не является изначально опасной. При использовании криптографически стойких токенов, одноразового доступа и строгих временных ограничений такой механизм может быть относительно безопасным. Некоторые сайты применяют похожую схему через электронную почту, дополнительно полагаясь на двухфакторную защиту почтовых аккаунтов. Однако для банков, почтовых сервисов и крупных платформ с чувствительными данными такие методы обычно считаются неприемлемыми.

Исследование наглядно показывает, что в современной цифровой среде удобство всё чаще ставится выше безопасности. Из 150 компаний, с которыми попытались связаться авторы работы, ответ дали лишь 18, а реальные изменения внедрили всего семь.

Пока вход по ссылке из SMS продолжает набирать популярность, пользователям стоит помнить: такие сообщения могут быть не просто способом авторизации, а потенциальной точкой утечки самых чувствительных данных. И судя по реакции индустрии, рассчитывать на быстрое решение этой проблемы пока не приходится.