Obří únik dvoufaktorových SMS kódů ukazuje, proč byste měli okamžitě přejít na ověřovací aplikaci nebo passkey. Zjistěte, jak zůstat v bezpečí.
Nedávná zpráva odhalila, že přibližně milion kódů pro dvoufaktorové ověření (2FA), které byly zaslány formou SMS, bylo zachyceno a mohlo být zneužito. Incident znovu potvrzuje, že SMS ověřování je zdaleka nejméně bezpečný způsob ochrany účtu.
Jak funguje dvoufaktorové ověření?
Dvoufaktorová autentizace přidává další vrstvu zabezpečení k vašemu účtu. I když někdo získá vaše heslo, potřebuje ještě 6místný kód, který se obvykle generuje aplikací nebo se pošle přes SMS. Právě SMS kódy jsou ale slabým článkem – posílají se nešifrovaně přes mobilní síť a kdokoliv s přístupem k síťovému provozu je může zachytit.
Co se stalo?
Průmyslový whistleblower poskytl serveru Bloomberg a týmu Lighthouse Reports důkazy o tom, že během června 2023 prošel obrovský balík přibližně 1 milionu SMS 2FA kódů přes švýcarskou firmu Fink Telecom Services. Tato společnost má podle expertů vazby na vládní zpravodajské agentury a dodavatele sledovacích technologií. Mezi odesílatele patřili giganti jako Google, Meta, Amazon, ale také banky, aplikace Tinder, Snapchat, Binance nebo Signal a WhatsApp.
To znamená, že útočník – včetně vládní agentury – mohl s vaším heslem a zachyceným SMS kódem snadno proniknout do vašeho účtu, i když máte 2FA zapnuté.
Co říká firma Fink?
Finanční ředitel Fink Telecom tvrdí, že firma jen zajišťuje „routing zpráv“ a už nespolupracuje na sledování. Odborníci na kyberbezpečnost ale spojují Fink se známými případy prolomení účtů přes zachycené SMS kódy.
Jak se chránit?
Tato událost znovu dokazuje: SMS není bezpečné řešení pro 2FA. Daleko lepší je použít ověřovací aplikaci (například Google Authenticator nebo Authy), která generuje jednorázové kódy přímo v zařízení a není na síti závislá. Ještě bezpečnější jsou passkeys – Apple a další firmy je postupně zavádějí a fungují na bázi biometrického ověření (Face ID, Touch ID), bez přenosu hesla na server.
Uživatelé Apple mají výhodu: Apple používá vlastní 2FA, kdy se ověřovací kódy posílají přímo na ostatní Apple zařízení. Tento způsob je považován za bezpečný.
9to5Mac doporučuje: Přepněte si 2FA na ověřovací aplikaci co nejdříve a deaktivujte SMS, kde to jde. A pokud váš účet podporuje passkeys, aktivujte je. Vaše data si to zaslouží!
Chcete k tomu něco dodat? Napište krátce proč.