Новости

Ваши коды от Google и Meta* идут через третьи руки

Ваши коды от Google и Meta* идут через третьи руки

19.06.2025
Ваши коды от Google и Meta* идут через третьи руки

Вы всё ещё доверяете SMS с кодом подтверждения? Расследование Bloomberg Businessweek и Lighthouse Reports показало, как одноразовые сообщения от Google, Meta*, Amazon, Binance и даже европейских банков в 2023 году проходили через малозаметную компанию Fink Telecom Services — с офисом в Швейцарии, несколькими сотрудниками и доступом к системам, где циркулируют коды входа сотен тысяч людей.

Проблема — не в самих SMS, а в цепочке посредников, через которую они отправляются. Крупные корпорации редко рассылают коды напрямую. Вместо этого они обращаются к подрядчикам, те — к другим субподрядчикам, и в итоге сообщение может попасть в руки фирмы, чьи технические маршруты проходят через страны с сомнительной репутацией. В расследовании говорится, что в июне 2023 года через инфраструктуру Fink Telecom прошло более миллиона таких сообщений, а глобальные заголовки (технические идентификаторы для связи мобильных сетей), использованные в процессе, были зарегистрированы в Намибии, Великобритании, Чечне и Швейцарии.

Сама компания Fink Telecom заявляет, что не участвует в анализе содержимого и всего лишь предоставляет «чистую инфраструктуру». Однако Андреас Финк, стоящий за ней, ранее был замечен в связях с организациями, занимающимися перехватом трафика. В 2020 году, например, через одну из его структур — SMSRelay — фиксировались атаки на криптокошельки в Израиле. Несмотря на заявления о закрытии, активность сервиса, как утверждают журналисты, продолжалась до 2023 года.

Рынок доставки SMS оценивается в $30 млрд, но эксперты всё чаще называют эту технологию устаревшей. Компании вроде Signal переходят на PIN и QR-коды, а Google уходит от SMS-аутентификации вовсе. Но пока такие меры не стали массовыми, миллионы людей продолжают получать коды через цепочку, где между вами и вашей безопасностью — технический гараж в Женеве и маршрутизатор в Намибии.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Премия «Киберпросвет» 2025 Премия «Киберпросвет» 2025

Популярные материалы
01.12.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
24.08.2024
Безопасное хранение паролей в компании, или Что еще умеет Пассворк?
04.11.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
19.10.2024
ГосСОПКА: какие перспективы у цифрового щита России?
20.01.2025
Как работают TLS-сертификаты Минцифры
15.11.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
30.12.2024
SIEM-системы в России - что это, какие популярные решения применяются
27.11.2024
Anonymous vs Killnet: история группировок
06.12.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
12.12.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
17.01.2025
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
21.12.2024
Как стать хакером с нуля? Что нужно знать и уметь, где учиться?
22.12.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
25.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
06.10.2024
Обзор средств доверенной загрузки
16.09.2024
Новые возможности продукта Security Vision Risk Management (RM)
05.09.2024
Astra Linux Special Edition: обзор защищенной российской ОС
10.11.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
16.08.2024
Менеджеры паролей - 7 лучших решений для бизнеса
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
25.10.2024
Денис Полянский, директор по клиентской безопасности Selectel: Необходимо максимально распространить свою ИБ-стратегию на подрядчика
17.12.2024
Утечка данных: как случается и что с ними делать
15.11.2024
Аналитическое сравнение российских систем SGRC (Security Governance, Risk and Compliance)
19.01.2025
XDR, DLP, IDS: какое ИБ-решение выбрать
12.12.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?