روابط المصادقة عبر SMS: ثغرة أمنية تطيح ببيانات الملايين الحساسة

“نحن نرى أن هذه الهجمات سهلة الاختبار والتحقق والتنفيذ على نطاق واسع،” هكذا كتب الباحثون من جامعات نيو مكسيكو وأريزونا ولويزيانا وشركة سيركل. وأضافوا: “يمكن تحقيق نموذج التهديد باستخدام أجهزة استهلاكية ومعرفة أساسية إلى متوسطة فقط بأمن الويب.”

رسائل SMS، بطبيعتها، تُرسل دون أي تشفير. وقد كشف باحثون في السنوات الماضية عن قواعد بيانات عامة لرسائل نصية سابقة، احتوت على روابط مصادقة وتفاصيل خاصة، منها أسماء وعناوين الأفراد. أحد هذه الاكتشافات، الذي يعود لعام 2019، شمل ملايين الرسائل النصية المخزنة، المرسلة والمستقبلة، على مدار سنوات بين شركة واحدة وعملائها. تضمنت تلك الرسائل أسماء مستخدمين وكلمات مرور، طلبات تمويل جامعية، ورسائل تسويقية تحمل أكواد خصم وتنبيهات وظيفية، في اكتشاف مثير للقلق.

لكن هذه الممارسة، رغم مخاطرها الأمنية المعروفة، لا تزال مزدهرة. لأسباب أخلاقية، لم يتمكن الباحثون القائمون على الدراسة من قياس نطاقها الحقيقي، إذ كان ذلك سيتطلب تجاوز ضوابط الوصول، مهما كانت ضعيفة. وكمنظور يقدم رؤية محدودة للعملية، لجأ الباحثون إلى بوابات SMS العامة. غالبًا ما تكون هذه البوابات مواقع ويب تعتمد على الإعلانات، وتتيح للأفراد استخدام رقم مؤقت لاستقبال الرسائل النصية دون الكشف عن أرقام هواتفهم الحقيقية. يمكن العثور على أمثلة لمثل هذه البوابات هنا.

مع هذا المنظور المحدود لرسائل المصادقة المرسلة عبر SMS، لم يتمكن الباحثون من تحديد النطاق الحقيقي لهذه الممارسة والمخاطر الأمنية والخصوصية التي تشكلها. ومع ذلك، كانت نتائجهم جديرة بالملاحظة.

جمع الباحثون 332,000 رابط URL فريد تم تسليمه عبر SMS، استُخرجت من 33 مليون رسالة نصية أُرسلت إلى أكثر من 30,000 رقم هاتف. وجد الباحثون أدلة عديدة على تهديدات أمنية وخصوصية للمستقبلين. ومن بين هذه الروابط، كشفت الرسائل الصادرة من 701 نقطة نهاية، والمرسلة نيابة عن 177 خدمة، عن “معلومات تعريف شخصية حساسة وحرجة”. كان السبب الجذري لهذا الكشف هو ضعف المصادقة المعتمدة على روابط رمزية للتحقق. أي شخص يمتلك الرابط كان بإمكانه الحصول على معلومات المستخدمين الشخصية من هذه الخدمات، بما في ذلك أرقام الضمان الاجتماعي، تواريخ الميلاد، أرقام الحسابات المصرفية، ودرجات الائتمان.