Przejmowanie kont starymi numerami telefonów to problem, który może mieć poważne konsekwencje dla użytkowników. Meta zauważa problem, ale odpowiedzialność spycha na firmy telekomunikacyjne.

Chodzi o tzw. recykling starych numerów telefonów - stary, nieużywany numer po jakimś czasie trafia do kolejnego użytkownika. Problem w tym, że przekazywanie numerów telefonów stwarza problem dla użytkowników najpopularniejszych portali społecznościowych i innych usług.

Realny problem znany od lat

Problem jest znany co najmniej od 2021 r., gdy badacze z Uniwersytetu Princeton opublikowali raport „Zagrożenia dla bezpieczeństwa i prywatności związane z recyklingiem numerów u operatorów telefonii komórkowej w Stanach Zjednoczonych”.

Jak wynika z raportu, 171 z 259 zbadanych numerów było powiązanych z istniejącymi kontami w popularnych witrynach internetowych, co potencjalnie umożliwiało przejęcie tych kont. Mało tego! 100 z 259 numerów było powiązane z z danymi uwierzytelniającymi, które wyciekły, co ułatwiłoby pokonanie wielopoziomowego uwierzytelniania opartego na wiadomościach SMS.

Niektórzy operatorzy wprowadzili mechanizmy, które mają ułatwić zmianę numeru telefonu w popularnych kontach i usługach (takie rozwiązanie wprowadził m.in. T-Mobile). Wygląda jednak na to, że luka nadal występuje w usługach, które wykorzystują numery telefonów do uwierzytelniania wieloskładnikowego.

Użytkownicy alarmują

Występowanie problemu potwierdza jeden z użytkowników portalu Reddit, który zmienił numer telefonu i spróbował odzyskać zalogować się na konto na Instagramie. Zalogował się... ale na konto zupełnie innego użytkownika.

“Około 3 miesiące temu zmieniłem numer telefonu i kiedy próbowałem zalogować się na Instagram z moim nowym numerem, zalogowałem się na ten losowy numer dziewczyny.”

“Naturalnie zaciekawiłem się i przetestowałem inne aplikacje, TikTok, Snapchat, Amazon, Facebook, Messenger, Cashapp i Ddordash były łatwo dostępne z tym nowym numerem na koncie losowej osoby, ale teraz też się boję, bo jeśli mogę to zrobić, to osoba, która dostanie mój stary numer, też może? Czy to nie jest sprzeczne z jakimś prawem?”

Meta spycha odpowiedzialność

Sprawą zainteresował się Alexander Hanff, konsultant ds. Prywatności, który zgłosił problem do Meta. Serwis The Register opisuje kuriozalną sytuacją:

"Zgłosiłem to w ramach ich systemu zgłaszania luk w zabezpieczeniach (bug bounty), ponieważ nie ma innego oczywistego sposobu na zgłoszenie tego. Oczywiście nie jestem zainteresowany żadną nagrodą, po prostu próbuję to naprawić, ale Meta ma zwyczaj utrudniania ludziom kontaktowania się z nimi".

Meta odrzuciła zgłoszenie, zrzucając odpowiedzialność na dostawców usług telekomunikacyjnych. Redakcja The Register otrzymała następującą odpowiedź:

“Zdarzają się sytuacje, w których wygasają numery telefonów udostępnione komuś innemu niż pierwotny właściciel. Na przykład, jeśli numer ma nowego właściciela i używa go do logowania się na Facebooku, może to spowodować zresetowanie hasła do Facebooka. Jeśli ten numer jest nadal powiązany z kontem użytkownika na Facebooku, osoba, która ma teraz ten numer, może następnie przejąć konto.

Chociaż jest to niepokojące, nie jest to uważane za błąd w programie bug bounty. Facebook nie ma kontroli nad dostawcami usług telekomunikacyjnych, którzy ponownie wydają numery telefonów, ani nad użytkownikami posiadającymi numer telefonu powiązany z ich kontem na Facebooku, który nie jest już na nich zarejestrowany.”

Sprawą zajmie się Komisja Ochrony Danych

Hanff stwierdził, że podejście korporacji jest niedopuszczalne, co argumentował w następujący sposób:

"Nie mówimy [Cóż, wiemy, że hasła o niskim skomplikowaniu mogą zostać zhakowane bardzo szybko, ale nie jesteśmy odpowiedzialni za ludzi używających technologii łamania haseł, więc będziemy nadal zezwalać na czteroznakowe hasła składające się tylko z małych liter w pierwszej połowie alfabetu]. Jeśli więc wiesz, że istnieje ryzyko, celem projektowania zabezpieczeń jest złagodzenie lub usunięcie tego ryzyka, a nie ignorowanie go, ponieważ nie jesteś za nie odpowiedzialny".

Sprawa może trafić do sądu. Hanff zgłosił Meta do irlandzkiej Komisji Ochrony Danych w związku z rzekomymi naruszeniami ogólnego rozporządzenia o ochronie danych osobowych w Europie (zasady te wymagają odpowiedzialnego postępowania z danymi).

Co z tego wyjdzie? Jeszcze nie wiadomo. Mamy nadzieję, że problem zostanie rozwiązany. Obojętnie przez kogo.

Źródło: The Verge, Reddit, foto: Adobe Stock