Цифровое наследие SIM-карт
Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона.
Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные.
Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.
Давайте теперь представим, что по каким-то причинам пользователь перестал пользоваться номером телефона. Что произойдет?
Спустя какое-то время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) конкретная SIM-карта будет заблокирована.
Еще через какое-то время номер телефона вновь поступит в продажу, и его сможет приобрести другой пользователь. Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?
Чтобы получить ответ на этот вопрос, Positive Technologies решили провести эксперимент.
Резюме:
–Для 43% номеров, использованных в ходе эксперимента, обнаружены аккаунты, созданные прежними владельцами, причем для 37% номеров эти аккаунты были активными (не были заблокированы).
–Каждое третье приложение (12 из 38) позволяло применить технику user enumeration; проверку на наличие аккаунтов удалось частично автоматизировать, что дало возможность сократить время проведения эксперимента.
–Четыре аккаунта имели принадлежность к маркетплейсу.
–Не была получена возможность доступа ни в один банковский аккаунт.
–Только один из пяти мобильных операторов обнаруживал вредоносную активность и блокировал попытки входа.
Подробнее о том, что делали и какие
результаты получили, читайте в отчете.#сим #sim #безопасность #отчет @ofd24