Специалисты лаборатории кибербезопасности Servicepipe выявили новый способ взлома учётных записей, позволяющий обходить двухфакторную аутентификацию с помощью автоматического подбора одноразовых кодов. Об этом стало известно из публикации газеты «Ведомости».
Уязвимость обнаружили при изучении атак с использованием СМС-бомбинга. Эксперты установили, что автоматизированные боты способны не только массово запрашивать отправку сообщений с кодами, но и перебирать возможные комбинации паролей.
Получив доступ к учётной записи, злоумышленники могут завладеть конфиденциальными данными пользователя, включая информацию о платежах. Особенно уязвимыми оказались сервисы, применяющие короткие коды подтверждения.
В зоне риска находятся банки, маркетплейсы, службы такси и доставки, а также сервисы каршеринга. Для защиты специалисты рекомендуют увеличить длину одноразовых кодов, ограничить число попыток ввода и использовать антибот-системы. Более безопасной альтернативой СМС эксперты называют push-уведомления и специальные приложения для аутентификации.