Получи случайную криптовалюту за регистрацию!

Но тут гораздо интересней история про уязвимость в системах пе | Информация опасносте

Но тут гораздо интересней история про уязвимость в системах пересылки текстовых сообщений. И речь как бы не совсем о технической уязвимости. В двух словах: это эксплуатация системы Sakari, сервиса пересылки текстовых сообщений, которая позволяет различным компаниям рассылать СМС-напоминания, подтверждения, уведомления и рекламу. Создание учетной записи там бесплатно, и самый дешевый тариф — всего лишь 16 долларов. После этого у владельца учетной записи есть «право» переключать номера телефонов, что дает возможность прописать там телефон жертвы и получать текстовые сообщения, предназначенные жертве, даже без её ведома. Технически Sakari получает возможность контроля над перенаправлением текстовых сообщений от компании под названием Bandwidth. Та, в свою очередь, управляет назначением номеров еще через другую компанию — NetNumber. У NetNumber есть своя собственная централизованная база данных Override Service Registry, которую использует большое количество игроков (короче, иголка в яйце).

Насколько этот метод используется для атак сегодня — неизвестно. Но компаний, подобных Sakari, полно, и некоторые уже подтверждают, что они замечают подозрительную активность и блокируют таких пользователей. Очень хочется надеяться, что это может быть последним гвоздем в гроб аутентификации через получение SMS (например, при всем моем желании от него отказаться, есть сервисы, где подтверждение не получить никаким другим способом, кроме СМС — включая банковские). Но рекомендация общая: если есть возможность не получать код через SMS — не получайте, настраивайте TOTP/OTP пароли, это гораздо лучше, чем SMS.

Пост от журналиста Motherboard:
https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

пост от исследователя, который демонстрировал ему уязвимость
https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80

Инструмент для проверки, не зарегистрировал ли кто-то где-то ваш номер для каких-то своих дел (от компании, где работает Lucky225)
https://okeymonitor.com
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.