כולם דורשים אימות דו-שלבי, אבל אתם לא היחידים שרואים את הקוד
תחקיר חדש חשף כי גוגל, מטא ואמזון מעבירות את קודי ה-SMS דרך חברות צד שלישי, וחלקן מקושרות לריגול ממשלתי ופריצות לחשבונות פרטיים
קוד אימות ב-SMS. תמונה: ChatGPT
אימות דו-שלבי הפך בשנים האחרונות לסטנדרט אבטחה בסיסי עבור לא מעט יישומים וארגונים. בין שמדובר בגוגל שרוצה להגן על חשבון המייל שלכם, Meta או X שרוצות לוודא שרק אתם תוכלו להתחבר למשתמש שלכם ברשת החברתית או אפילו צוות ה-IT שמנסה להשאיר אורחים לא קרואים מחוץ למערכת.
היתרונות של אימות דו-שלבי מוכרים וברורים לכולם: שכבת הגנה נוספת מלבד הסיסמה הרגילה, כך שגם אם היא נגנבת או דולפת עדיין יש סיכוי להשאיר את החשבון בידכם; קבלת התראה באופן מיידי ברגע שמישהו מנסה להיכנס לכם לחשבון כדי שתוכלו לשנות את הסיסמה בהקדם; וכמובן קל מאוד להגדיר את הגנת ה-2FA מצד אחד, וקשה יותר לעקוף אותה מן הצד השני.
אבל דיווח חדש של Bloomberg Businessweek מערער את כל מה שחשבנו על שכבת ההגנה הנוספת הזו. בתחקיר משותף עם מערכת התחקירים Lighthouse Reports, התגלה כי לחברות ששולחות אליכם את קוד האימות הנוסף אין באמת מושג מי ראה את ההודעה לפני שהיא נחתה אצלכם בסמארטפון. כן כן, בדיוק מה שקראתם – ההודעות שבדרך כלל מגיעות עם המשפט "הקוד הוא אישי ואין להעביר או לשתף אותו עם אדם אחר", יכולות לעבור לא מעט עיניים לפני שהן בכלל מגיעות לאדם הנכון.
בתחקיר מצוטט אדם אנונימי מתוך תעשיית הטק שהעביר עבור התחקיר מידע חסוי על תעבורת רשת המקושרת לכמיליון הודעות, ובכל אחת מהן קוד אימות דו-שלבי שנשלחו ביוני 2023 ללקוחות. כל אחת מאותן מיליון הודעות עברה דרך חברה שוויצרית בשם Fink Telecom Services, שעל פי הדיווח מקושרת בעיקר לעבודה עם סוכנויות ביון ממשלתיות וקבלני מעקב. לא בדיוק מסוג הגופים שתרצו שיראו את תוכן ההודעות שלכם. בנוסף, בדיווח מצוין כי חוקרי סייבר ועיתונאים פרסמו בעבר דיווחים שמקשרים את פינק למקרים של חדירה לחשבונות פרטיים ברשת.
המשמעות הברורה היא שאם ביקשתם קוד דו-שלבי מ-Google או מטא, הן לא שולחות לכם את הקוד בעצמן אלא מעבירות את המשימה הלאה, לחברות צד שלישי שאף אחד חוץ מהן לא באמת מודע לקיומן.
הקוד מגיע בשניות, אבל הדרך ארוכה
חשוב להדגיש: SMSים נחשבים כבר שנים לטכנולוגיה מיושנת, ובגלל חולשות מובנות בטכנולוגיה הזו יש לגורמים שמעבירים את ההודעות אפשרות לראות את תוכנן. אבל המערכת כה מסובכת, שגם השולח וגם המקבל לא יכולים לדעת בוודאות מי בדיוק נגע בהודעה בדרך.
טכנולוגיית ה-SMS הפכה לנפוצה במהלך שנות ה-90, ולא נבנתה עם מערך אבטחה כמו אלה שאנחנו מכירים היום. הרעיון היה להעביר הודעות טקסט קצרות בין מכשירים, ועד היום ההודעות לא מוצפנות מקצה-לקצה והן נשלחות חשופות בתוך רשתות תקשורת סלולאריות.
תמונה: dreamstime
כשאתם מבקשים קוד אימות, המסלול עובד כך: אתם משגרים את הבקשה לשירות אליו אתם רוצים להתחבר, החברה האחראית שולחת את קוד האימות לספק ה-SMS החיצוני שלה, הוא מוסיף שלב בדרך כדוגמת ספק תקשורת מקומי, שבתורו מעביר אותה לחברת סלולר בינלאומית. משם הקוד קופץ לספק הסלולרי שלכם, ולבסוף – אל המכשיר שבידכם.
הנתונים שמועברים בחזרה אליכם כוללים קוד אוטומטי להתחברות, וגם מידע מקודד על כל המסלול שההודעה עברה. בין החברות שמוזכרות בדיווח ככאלו ששולחות בדרך הארוכה הזו את הקוד נמצאות גוגל, מטא, אמזון, כמה בנקים אירופיים, אפליקציות פופולריות כמו טינדר וסנאפצ'אט, בורסת הקריפטו Binance ופלטפורמות מסרים מוצפנים כמו Signal ו־WhatsApp. הנמענים היו ביותר מ־100 מדינות ובחמש יבשות.
חייבים לשאול – אם הסיכונים ברורים מדוע חברות רבות ממשיכות להסתמך על SMS לשליחת קודי אימות? מדובר באחת השיטות הזולות, המהירות והנגישות ביותר להטמעה גם בצד השרת וגם אצל המשתמשים. לא נדרשת התקנה של אפליקציה ייעודית, אין צורך בזיהוי ביומטרי ורוב המשתמשים מכירים את הפורמט ויודעים להשתמש בו.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
שכבת הגנה שעוברת בידיים מפוקפקות
בתגובה במייל ל־Businessweek, מנכ"ל Fink Telecom, אנדראס פין, טען שמגבלות חוקיות מונעות מהחברה שלו לצפות בתוכן ההודעות שהיא מעבירה. "החברה שלנו מספקת תשתית ושירותים טכניים, כולל ניתוב ותיאום רשתות", כתב, "אנחנו לא מנתחים או מתערבים בתעבורה שעוברת דרך הלקוחות או שותפיהם". הוא גם ציין שהחברה לא עוסקת עוד במעקב.
חברות כמו Fink פועלות כמתווכות ומספקות שירותי שליחה מהירים וזולים יותר באמצעות טכנולוגיה והסכמים עם חברות תקשורת רבות. לפי גורמים בתעשייה שמצוטטים בתחקיר, שחקנים גדולים וציבוריים מתחרים לצד חברות קטנות ולא מוכרות, ולעיתים אף משתמשים בשירותי קבלן משנה, שגם הם עלולים להשתמש בקבלני משנה נוספים – הכל בשביל להוזיל עלויות. המבנה המורכב הזה חוסך לחברות זמן וכסף, אבל לפי מומחי אבטחה זו התנהלות פזיזה, משום שבידיים הלא נכונות, המידע הזה יכול לשמש לפריצות לדוא"ל או לחשבונות פרטיים.
על פי הדיווח, אחד ממקורות ההכנסה המרכזיים של Fink Telecom הוא חוזים עם מפעילות סלולריות ברחבי העולם, המאפשרים לה להשתמש ב־global titles – מספרים וירטואליים שמאפשרים לשלוח הודעות בין רשתות תקשורת בינלאומיות. חברות תקשורת מרוויחות מהשכרת ה־global titles האלו לחברות כמו Fink. לפי הנתונים שנסקרו, פינק החזיקה או שכרה global titles מחברות תקשורת בשווייץ, בריטניה, נמיביה וצ'צ'ניה שברוסיה. נציין אגב כי רק באפריל האחרון נאסר בבריטניה על חברות טלקום במדינה להשתמש בשירות הזה מכיוון שהוא מנוצל לרעה ומאפשר ליירט את תוכן ההודעות.
לאחר שממצאי התחקיר הופנו לחברות, גוגל, מטא, Signal ו-Binance מסרו שאין להן קשר ישיר עם Fink Telecom. בגוגל ציינו כי "SMS מלווה באתגרים ובעיות אבטחה רבות" ושהחברה עוברת בהדרגה משימוש ב-SMS לצורכי אימות. ב-Signal אמרו שיש מנגנונים נוספים להגנה, כמו דרישת PIN נוסף יחד עם הקוד. במטא נמסר כי החברה מזכירה לשותפים החוזיים שלהם לדאוג לפרטיות וביטחון בעת שליחת הודעות SMS, ואף הודיעה להם שלא להתקשר או להעביר מידע דרך Fink. אמזון, סנאפצ'אט וטינדר סירבו להגיב לתחקיר.
אז נכון, הודעת SMS היא רק דרך אחת לקבל את קוד האימות, וניתן בהחלט להשתמש באפליקציות לאימות זהות או בקוד PIN במקום להסתמך על ההודעה, אבל אם יש משהו אחד שכדאי לכם לזכור הוא – אף חומה לא מבטיחה לכם 100% הגנה, ולכן תמיד כדאי להישאר עם יד על הדופק.
