Vigyázz a telefonszámodra, mert értékesebb lehet a jelszavadnál is!
Az idei év adatvédelmi botrányai után alig érte el az ingerküszöböt, hogy az amerikai T-Mobile a napokban egy közleményben bejelentette: augusztus 20-án a cég kiberbiztonsági osztálya hackertámadást észlelt, és a komolyan vett adatbiztonsági intézkedések ellenére több felhasználó személyes információi kerültek illetéktelen kezekbe. A bőséges bocsánatkérés-áradat mellett viszont néhány fontos részlet kimaradt a közleményből.
Például az, hogy a „több felhasználó” valójában több mint 2 milliót jelent – ezt csak a Motherboard kérdésére árulta el a cég szóvivője, aki úgy fogalmazott, hogy a cég 77 millió felhasználójának valamivel kevesebb mint 3 százalékát érintette az eset. Ráadásul míg az eredeti közleményben hangsúlyozták, hogy pénzügyi adatokat, társadalombiztosítási számokat és jelszavakat nem sikerült kicsalni a rendszerből, a Motherboardnak már azt nyilatkozta a szóvivő, hogy titkosított jelszavakat azért loptak – a lapnak nyilatkozó biztonsági szakértok szerint ezekből egy tapasztaltabb hacker már képes visszanyerni az eredeti jelszót.
A T-Mobile tájékoztatása szerint a következő információkat szerezték meg a hackerek: név, számlázási irányítószám, emailcím, ügyfélazonosító, ügyféltípus (előfizetéses vagy kártyás) és telefonszám. Utóbbi nem tűnik elsőre olyan fontosnak, de mégis a telefonszám lehet mind közül a legérzékenyebb adat, olyan esetekben, amikor egyszerre több személyes információhoz jutnak hozzá a hackerek.
Hiába a kétlépcsős azonosítás, ha a második lépcső még veszélyesebb
Az elmúlt években bevett gyakorlattá vált a telefonszám használata az egyes felhasználói fiókok hitelesítésénél – gondoljunk csak például a Google kétlépcsős azonosítási folyamatára, amelynek során SMS-ben érkezik a hitelesítő kód. Ez abból a szempontból logikus, hogy míg jelszavainkhoz sokkal könnyebben hozzájuthatnak a hackerek, mint a telefonunkhoz, viszont ha valahogy mégis sikerül hozzáférniük a telefonszámunkon keresztül beérkező információkhoz, akkor azzal a teljes online identitásunkat magukénak tudhatják.
Ennek nyilván az a legkézenfekvőbb módja, ha ellopnak vagy megtalálnak egy telefont, amit fel is tudnak oldani, de ez egyfelől ritkán történik meg (főleg, ha figyelembe vesszük, hogy nem minden elveszett telefon kerül rossz kezekbe), ráadásul a hackerek már egy sokkal kifinomultabb módszert is kidolgoztak az ilyen esetekre: az úgynevezett SIM-cserés támadást.
Ezt a 2017-ben elterjedt módszert egy, a T-Mobile rendszerében talált hiba tette lehetővé: hackerek észrevették, hogy egy pofonegyszerű programozói trükkel bármely T-Mobile-ügyfél esetében megszerezhetők a következő adatok a telefonszám ismeretével: emailcím, ügyfélazonosító és a telefon IMSI-száma. Ha megvannak ezek az adatok, a hackernek már csak fel kell hívnia a T-Mobile-t, a fenti egyedi azonosítókkal kiadja magát a szám tulajdonosának, és egy új SIM-kártyát kér azonos telefonszámmal, például azzal az indokkal, hogy ellopták a telefont.
Több mint egy egyszerű csíny
De tovább is vezethet egy SIM-cserés támadás. Idén augusztusban egy ismert kriptovaluta-befektető, Michael Terpin 223,8 millió dollárra perelte be az egyik legnagyobb amerikai telekomcéget, az AT&T-t, miután több alkalommal is SIM-cserés támadás áldozatául esett. Legutóbb januárban, amikor több mint 3 millió kriptovaluta tokent loptak el tőle ezzel a módszerrel, ráadásul ez már az után történt, hogy 2017 júniusában egy hasonló támadás után különleges eljárásban biztosítottak neki még nagyobb adatbiztonságot.
A Vice nemrég nagyobb riportot közölt arról az oldalról, ahol a hasonló feltörésekből üzletet csinálnak. A cikk írásakor 55 ezer regisztrált taggal rendelkező, OGUSERS nevű fórumon például 20 ezer dollárért kelt el a @Bitcoin nevű Instagram-fiók, az @eternity-t pedig ezer dollárért árulták – minél általánosabb, felkapottabb vagy épp rövidebb egy felhasználói név, annál többet ajánlanak érte. A hírességek sem úszták meg az ügyet: Selena Gomez énekesnőt 125 millióan követték az Instagramon, amikor SIM-cserével feltörték a fiókját, és volt barátjáról, Justin Bieberről posztoltak rajta meztelen fotókat.
Ez ellen sokszor még védekezni sem lehet, a Flashpoint nevű biztonsági cég szerint ugyanis több hacker megkerüli a bukás lehetőségét tartogató betelefonálásos módszert, és egyszerűen csak lefizetik a mobilüzletek dolgozóit egy SIM-cseréért. A megoldást kizárólag a telefonszám szerepének teljes újragondolása jelentené, állítja Allison Nixon, a Flashpoint munkatársa. „A telefonszámokat nem szabadott volna személyes azonosítóként használni. A telefontársaságok sosem akarták értékesíteni a felhasználóik identitását, ezt rájuk kényszerítették” – utalt a techcégekre Nixon.
De mi a megoldás?
A Wired már 2016-ban is arra figyelmeztette az olvasóit, hogy ideje elfelejteni a kétlépcsős azonosítás használatát, de a lap most ismét felelevenítette a témát. Thomas Hardjono, az MIT biztonságos személyazonosságokat kutató munkatársa szerint a könnyen cserélhetőség a kulcs: a hitelkártyákról is példát lehetne venni, azokat ugyanis a chip lehúzása mellett egy plusz PIN-kóddal lehet használni, és lecserélni is nagyon könnyű.
A szakértő szerint külön kellene választani a telefonszámot és a telefonos azonosítót: ha például minden okostelefon generálna egy azonosítót a telefonszám és az IMEI-szám kombinálásával, az nem csak nehezebben feltörhető, de könnyebben cserélhető is lenne – a saját biztonsága érdekében mindenki szívesebben cserélné le a telefonját, mint a rengeteg ember által ismert telefonszámát.
Azzal azonban a legtöbb szakértő egyetért, hogy ezt a rendszert csak törvénnyel lehet megváltoztatni, mivel a cégeknek sokkal egyszerűbb elkérni egy telefonszámot, kiküldeni egy SMS-t, aztán ha nagy ritkán baj lesz belőle, kiadni egy bocsánatkérő közleményt.