Účty služieb ako PayPal, Venmo alebo Mailchimp sú zraniteľné voči SIM swappingu napriek upozorneniam výskumníkov

SIM Swap

Zdroj: Vice/MOTHERBOARD

O SIM swappingu sme naposledy hovorili v našom incident podcaste č.65 a písali na našom blogu. SIM swapperi využívajú to, že SMS správy sa používajú na zasielanie bezpečnostných kódov. Ak sa im podarí prevziať vašu identitu a presvedčiť vášho mobilného operátora, aby im vydal náhradnú SIM kartu, môžu sa dostať do vašich účtov na rôznych službách.

Koncom marca sa výskumníci z Princeton University pozreli na to, ako sú mobilní operátori pripravení na SIM swapping. Okrem iného zistili, že existuje 17 takých služieb, kde by SIM swapping stačil na prebratie účtu na službe aj bez znalosti hesla.

Bezpečnostní výskumníci v minulosti dlhodobo kritizovali napríklad sociálnu sieť Twitter, ktorá vyžadovala mobilné číslo na vytvorenie účtu. Keď si neskôr používateľ pridal druhý faktor v podobe aplikácie generujúcej kód na mobile alebo hardvérový kľúč, tak nebolo možné odstrániť mobil ako druhý faktor. Obyčajný SIM swapping tak umožňoval prevzatie Twitter účtu. Firma zmenila názor po SIM swappingu ich vlastného CEO Jacka Dorseyho.

Výskumníci oslovili 17 firiem, ktorých služby umožňovali po SIM swappingu prevziať účty. Po 60 dňoch od oznámenia problému reagovali opravou len Adobe, Blizzard, Ebay, Microsoft, Online, Snapchat a Taxact. Zvyšné tak ešte neurobili a možno ani neurobia.

SIM Swap table

Obrázok č.1: Tabuľka s výsledkami reakcií rôznych služieb na oznámenie problému.
Zdroj: Is SMS 2FA Secure?/incident.sk

Niektoré firmy nechápali prečo to je problém. Zvlášť citlivé je to pri finančných službách ako PayPal a Venmo, pri ktorých môžu prísť obete o veľké sumy peňazí. Firmy umožňujú tento spôsob autentifikácie hlavne preto, lebo im znižuje náklady na podporu. Ľudia zabúdajú svoje heslá, strácajú mobily a hardvérové tokeny. Pre firmy je jednoduchšie a lacnejšie zaslať SMS ako riešiť stratu prístupu k účtu cez podporu kde musia sedieť ľudia.

Za nedôslednú ochranu proti SIM swappingu udeľujeme americkým mobilným operátorom a finančným službám ako PayPal a Venmo náš titul fail týždňa.

Obrázok: „PC101629.JPG“ by Junpei Abe, used under CC BY 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ