Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,180
Reaction score
2,179
Points
613
Location
Новосибирск
В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

17:00 / 7 ноября, 2024

gf0e76hp7mxo3t1x14w34i32ii9z8aew.jpg


Новое исследование Positive Technologies показало, что более трети изученных SIM-карт дают возможность для попыток аутентификации в сервисах и приложениях.

Практически каждый второй телефонный номер, проверенный специалистами в ходе исследования , уже был использован для регистрации различных аккаунтов, а более трети всех проанализированных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи.

Эксперты изучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения были разделены на несколько категорий: корпоративные сайты, интернет-магазины, аптеки, платформы доставки еды, маркетплейсы и социальные сети. Для эксперимента использовались три типа SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белые»), 50 приобретены через каналы в Telegram («серые»), еще 15 — арендованы через специализированные онлайн-сервисы (виртуальные).

Выяснилось, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активными. Исследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу — к банковским аккаунтам.

Лишь один из пяти операторов блокировал SIM-карты при выявлении активности исследователей. Также установлено, что два оператора из пяти раскрывают Ф. И. О. владельца при попытке входа в личный кабинет. По результатам эксперимента не было выявлено зависимости между типом SIM-карт («белые», «серые», виртуальные) и вероятностью успешной авторизации.

В общей специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунтов с этим номером не было.

«Наш эксперимент показал, что злоумышленники могут использовать ваш прежний номер телефона для атак, как только он вновь поступит в продажу. Разработчикам следует избегать использования SMS в качестве единственного фактора для подтверждения входа или замены паролей. При смене номера пользователи должны иметь возможность безопасно восстановить доступ к аккаунтам, а в формах регистрации и восстановления пароля не должна отображаться информация о наличии аккаунта на конкретный номер. Операторам связи важно уведомлять клиентов о блокировке номера через email или альтернативный номер», — прокомментировали в Positive Technologies.

Эксперты рекомендуют пользователям сохранять доступ к своим номерам телефонов, а при его утрате — привязывать учетные записи к новому номеру. Для критически важных приложений, таких как мессенджеры, социальные сети и онлайн-банки, следует использовать альтернативные методы авторизации, например, через электронную почту. Специалисты также советуют по возможности избегать входа через SMS (если это возможно) и настроить двухфакторную аутентификацию с использованием генераторов одноразовых паролей. Кроме того, рекомендуется ограничить мобильным приложениям доступ к чтению SMS-сообщений, не разглашать одноразовые пароли, а при подозрительной активности обращаться в службу поддержки приложения или оператора связи.

Подробнее: https://www.securitylab.ru/news/553740.php
 
Original message
В плену прошлого: треть б/у SIM-карт открывают доступ к чужим аккаунтам

17:00 / 7 ноября, 2024

gf0e76hp7mxo3t1x14w34i32ii9z8aew.jpg


Новое исследование Positive Technologies показало, что более трети изученных SIM-карт дают возможность для попыток аутентификации в сервисах и приложениях.

Практически каждый второй телефонный номер, проверенный специалистами в ходе исследования , уже был использован для регистрации различных аккаунтов, а более трети всех проанализированных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи.

Эксперты изучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения были разделены на несколько категорий: корпоративные сайты, интернет-магазины, аптеки, платформы доставки еды, маркетплейсы и социальные сети. Для эксперимента использовались три типа SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белые»), 50 приобретены через каналы в Telegram («серые»), еще 15 — арендованы через специализированные онлайн-сервисы (виртуальные).

Выяснилось, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активными. Исследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу — к банковским аккаунтам.

Лишь один из пяти операторов блокировал SIM-карты при выявлении активности исследователей. Также установлено, что два оператора из пяти раскрывают Ф. И. О. владельца при попытке входа в личный кабинет. По результатам эксперимента не было выявлено зависимости между типом SIM-карт («белые», «серые», виртуальные) и вероятностью успешной авторизации.

В общей специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунтов с этим номером не было.

«Наш эксперимент показал, что злоумышленники могут использовать ваш прежний номер телефона для атак, как только он вновь поступит в продажу. Разработчикам следует избегать использования SMS в качестве единственного фактора для подтверждения входа или замены паролей. При смене номера пользователи должны иметь возможность безопасно восстановить доступ к аккаунтам, а в формах регистрации и восстановления пароля не должна отображаться информация о наличии аккаунта на конкретный номер. Операторам связи важно уведомлять клиентов о блокировке номера через email или альтернативный номер», — прокомментировали в Positive Technologies.

Эксперты рекомендуют пользователям сохранять доступ к своим номерам телефонов, а при его утрате — привязывать учетные записи к новому номеру. Для критически важных приложений, таких как мессенджеры, социальные сети и онлайн-банки, следует использовать альтернативные методы авторизации, например, через электронную почту. Специалисты также советуют по возможности избегать входа через SMS (если это возможно) и настроить двухфакторную аутентификацию с использованием генераторов одноразовых паролей. Кроме того, рекомендуется ограничить мобильным приложениям доступ к чтению SMS-сообщений, не разглашать одноразовые пароли, а при подозрительной активности обращаться в службу поддержки приложения или оператора связи.

Подробнее: https://www.securitylab.ru/news/553740.php

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
22,017
Reaction score
3,769
Points
113
Age
53
Location
Россия,
Website
o-d-b.ru
СПАСИБО!!!
 
Original message
СПАСИБО!!!
  • Like
Reactions: НСК-СБ

Similar threads

До нового года осталось