Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

НСК-СБ

Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
14.07.2011
Beiträge
3.169
Punkte für Reaktionen
2.157
Punkte
613
Ort
Новосибирск
В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

17:00 / 7 ноября, 2024

gf0e76hp7mxo3t1x14w34i32ii9z8aew.jpg


Новое исследование Positive Technologies показало, что более трети изученных SIM-карт дают возможность для попыток аутентификации в сервисах и приложениях.

Практически каждый второй телефонный номер, проверенный специалистами в ходе исследования , уже был использован для регистрации различных аккаунтов, а более трети всех проанализированных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи.

Эксперты изучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения были разделены на несколько категорий: корпоративные сайты, интернет-магазины, аптеки, платформы доставки еды, маркетплейсы и социальные сети. Для эксперимента использовались три типа SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белые»), 50 приобретены через каналы в Telegram («серые»), еще 15 — арендованы через специализированные онлайн-сервисы (виртуальные).

Выяснилось, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активными. Исследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу — к банковским аккаунтам.

Лишь один из пяти операторов блокировал SIM-карты при выявлении активности исследователей. Также установлено, что два оператора из пяти раскрывают Ф. И. О. владельца при попытке входа в личный кабинет. По результатам эксперимента не было выявлено зависимости между типом SIM-карт («белые», «серые», виртуальные) и вероятностью успешной авторизации.

В общей специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунтов с этим номером не было.

«Наш эксперимент показал, что злоумышленники могут использовать ваш прежний номер телефона для атак, как только он вновь поступит в продажу. Разработчикам следует избегать использования SMS в качестве единственного фактора для подтверждения входа или замены паролей. При смене номера пользователи должны иметь возможность безопасно восстановить доступ к аккаунтам, а в формах регистрации и восстановления пароля не должна отображаться информация о наличии аккаунта на конкретный номер. Операторам связи важно уведомлять клиентов о блокировке номера через email или альтернативный номер», — прокомментировали в Positive Technologies.

Эксперты рекомендуют пользователям сохранять доступ к своим номерам телефонов, а при его утрате — привязывать учетные записи к новому номеру. Для критически важных приложений, таких как мессенджеры, социальные сети и онлайн-банки, следует использовать альтернативные методы авторизации, например, через электронную почту. Специалисты также советуют по возможности избегать входа через SMS (если это возможно) и настроить двухфакторную аутентификацию с использованием генераторов одноразовых паролей. Кроме того, рекомендуется ограничить мобильным приложениям доступ к чтению SMS-сообщений, не разглашать одноразовые пароли, а при подозрительной активности обращаться в службу поддержки приложения или оператора связи.

Подробнее: https://www.securitylab.ru/news/553740.php
 
Original message
В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

17:00 / 7 ноября, 2024

gf0e76hp7mxo3t1x14w34i32ii9z8aew.jpg


Новое исследование Positive Technologies показало, что более трети изученных SIM-карт дают возможность для попыток аутентификации в сервисах и приложениях.

Практически каждый второй телефонный номер, проверенный специалистами в ходе исследования , уже был использован для регистрации различных аккаунтов, а более трети всех проанализированных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи.

Эксперты изучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения были разделены на несколько категорий: корпоративные сайты, интернет-магазины, аптеки, платформы доставки еды, маркетплейсы и социальные сети. Для эксперимента использовались три типа SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белые»), 50 приобретены через каналы в Telegram («серые»), еще 15 — арендованы через специализированные онлайн-сервисы (виртуальные).

Выяснилось, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активными. Исследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу — к банковским аккаунтам.

Лишь один из пяти операторов блокировал SIM-карты при выявлении активности исследователей. Также установлено, что два оператора из пяти раскрывают Ф. И. О. владельца при попытке входа в личный кабинет. По результатам эксперимента не было выявлено зависимости между типом SIM-карт («белые», «серые», виртуальные) и вероятностью успешной авторизации.

В общей специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунтов с этим номером не было.

«Наш эксперимент показал, что злоумышленники могут использовать ваш прежний номер телефона для атак, как только он вновь поступит в продажу. Разработчикам следует избегать использования SMS в качестве единственного фактора для подтверждения входа или замены паролей. При смене номера пользователи должны иметь возможность безопасно восстановить доступ к аккаунтам, а в формах регистрации и восстановления пароля не должна отображаться информация о наличии аккаунта на конкретный номер. Операторам связи важно уведомлять клиентов о блокировке номера через email или альтернативный номер», — прокомментировали в Positive Technologies.

Эксперты рекомендуют пользователям сохранять доступ к своим номерам телефонов, а при его утрате — привязывать учетные записи к новому номеру. Для критически важных приложений, таких как мессенджеры, социальные сети и онлайн-банки, следует использовать альтернативные методы авторизации, например, через электронную почту. Специалисты также советуют по возможности избегать входа через SMS (если это возможно) и настроить двухфакторную аутентификацию с использованием генераторов одноразовых паролей. Кроме того, рекомендуется ограничить мобильным приложениям доступ к чтению SMS-сообщений, не разглашать одноразовые пароли, а при подозрительной активности обращаться в службу поддержки приложения или оператора связи.

Подробнее: https://www.securitylab.ru/news/553740.php

Матушкин Андрей Николаевич

Президент IAPD
Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
01.01.1970
Beiträge
21.925
Punkte für Reaktionen
3.755
Punkte
113
Alter
53
Ort
Россия,
Website
o-d-b.ru
СПАСИБО!!!
 
Original message
СПАСИБО!!!
  • Like
Reaktionen: НСК-СБ

Alexander Konovalenko.

Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
14.05.2021
Beiträge
530
Punkte für Reaktionen
456
Punkte
63
Alter
53
Ort
173024-г.Великий Новгород.,ул.Свободы,д.-23, кв-5
Спасибо!!!
За информацию!!!
 
Original message
Спасибо!!!
За информацию!!!

Similar threads