Все годами читали ИТ-отделу лекции о том, насколько ужасна безопасность при отправке текстовых сообщений для аутентификации, включая меня. Теперь, благодаря отличному репортажу из , стало ясно, что ситуация с текстом намного хуже, чем кто-либо думал. Недостатки кибербезопасности свойственны не только текстовым сообщениям, но и всему телекоммуникационному пространству, окружающему текстовую инфраструктуру, абсолютно безнадежно.
Продемонстрированная атака в белых шляпах перехватила и перенаправила все текстовые сообщения жертвы, но это не был технический захват. Белая шляпа (которого репортер попросил попытаться украсть его текстовые сообщения) просто заплатил небольшую сумму (16 долларов) законной фирме по SMS-маркетингу и массовым сообщениям под названием Sakari. Белому хакеру пришлось солгать о том, что у него есть разрешение пользователя, но значимых доказательств не требовалось.
«Как только (злоумышленник) сможет перенаправить текстовые сообщения цели, взломать другие учетные записи, связанные с этим номером телефона, будет несложно», — говорится в статье. «В этом случае (злоумышленник) отправил запросы на вход в Bumble, WhatsApp и Postmates и легко получил доступ к учетным записям».
С точки зрения ИТ-безопасности эта история становится еще более пугающей, поскольку она показывает, насколько запутан весь телекоммуникационный мир, когда дело доходит до защиты текстовых сообщений. Это еще одна причина, по которой нельзя доверять текстовым сообщениям для аутентификации или, если уж на то пошло, почти для чего угодно.
Рассмотрим это из истории: «В случае Сакари, он получает возможность контролировать перенаправление текстовых сообщений от другой фирмы под названием Bandwidth, в соответствии с копией LOA (письма авторизации) Сакари, полученной Motherboard. Bandwidth сообщила Motherboard, что это помогает управлять назначением номеров и маршрутизацией трафика через свои отношения с другой компанией под названием NetNumber. NetNumber владеет и управляет проприетарной централизованной базой данных, которую индустрия использует для маршрутизации текстовых сообщений, — Override Service Registry (OSR), сообщает Bandwidth».
В течение многих лет основным аргументом против использования подтверждений в виде текстовых сообщений было то, что они подвержены атакам «человек посередине», что по-прежнему верно. Но этот взгляд на авторизованную инфраструктуру для текстовых сообщений означает, что захват текстовых сообщений может происходить гораздо проще.
Существует множество легкодоступных приложений, которые делают текстовую аутентификацию намного более безопасной, включая Google Authenticator, Symantec VIP Access, Adobe Authenticator и Signal. Зачем рисковать незашифрованными, легко украденными текстами для доступа к учетной записи или чему-либо еще?
На данный момент давайте отложим в сторону то, насколько легко и недорого можно перейти на более безопасную версию текстовых подтверждений. Давайте также на время отложим в сторону нормативные и операционные риски, которые берет на себя ваша команда, позволив предприятию предоставить учетной записи доступ к незашифрованным текстам.
Как насчет того, чтобы рассматривать только риски и последствия для соблюдения требований, связанные с предоставлением стороннего доступа через незашифрованную текстовую аутентификацию? Помните это из статьи: «(Злоумышленник) отправил запросы на вход в Bumble, WhatsApp и Postmates и легко получил доступ к учетным записям».
Как только плохой парень получает контроль над текстовыми сообщениями клиента, срабатывает обширный эффект домино, когда многие предприятия могут быть неправомерно доступны. Что, если какой-нибудь юрист одной из этих других компаний увидит ваше предприятие в глубоком кармане и возразит что-то вроде: «Если бы (ваше предприятие) не запустило небезопасную цепную реакцию, настаивая на использовании незашифрованных текстов в качестве авторизации, мой клиент не стал бы чувствовали себя комфортно, делая то же самое. Следовательно, (ваше предприятие) должно покрыть наши убытки». Звучит абсурдно? Возможно, но прежде чем ваши люди допустят рассмотрение такого аргумента до суда, они уладят дело, передав значительную часть вашего запроса на увеличение ИТ-бюджета на следующий год.
Кроме того, есть негативная реакция (финансы, восприятие бренда, неприятные комментарии в социальных сетях, сокращение числа новых клиентов и т. д.) от вашей установленной базы и потенциальных клиентов, а также возможность судебного разбирательства с их стороны.
А соответствие? Есть два типичных аргумента при попытке защитить такое безрассудное поведение перед регулирующими органами. Первый: «Это типичная отраслевая практика. Я могу привести доказательства того, что 80% наших конкурентов поступали так же». Второе: «В то время у нас не было причин полагать, что безопасность незашифрованных текстов настолько плоха».
Что касается первого аргумента (типичная отраслевая практика), защита начнет быстро таять. Было бы неплохо защитить эту ужасную практику для деятельности в 2020 году, но к лету компании начнут отказываться от нее.
Что же касается второго аргумента (кто знал?), то эта история и реакция на нее сметут и эту защиту.
Не позволяйте вашему предприятию быть последним в своем секторе, который отказывается от незашифрованных текстовых сообщений для аутентификации. Это компании, которые в конечном итоге платят самую высокую цену.
© 2021 IDG Communications, Inc.