Команда Molfar публікує український переклад статті від 1 вересня 2022 року про небезпеку використання сервісів для отримання тимчасових даних з метою обходу реєстрації на сайтах. Оригінал статті доступний за цим посиланням. Наведений нижче текст належить автору і публікується у скороченому вигляді.
ПОПЕРЕДЖЕННЯ: у наступній публікації пояснюються мої дії від імені клієнта, на які я маю повну письмову згоду. Клієнт надав мені доступ до цих облікових записів. Вчинення будь-яких дій для отримання доступу до облікового запису іншої людини без її згоди є незаконним. Ніколи не повторюйте ці кроки в облікових записах, які вам не належать. Відредаговані знімки екрана публікуються тут за згодою клієнта з надією, що вони допоможуть іншим не стати жертвою такого типу атак.
Нещодавно мій клієнт завершив процес перезавантаження своєї конфіденційності, у тому числі побудував новий будинок, про який не знає ніхто окрім будівельників та його самого. Цей клієнт прочитав багато книжок та вже використав більшість з наявних цифрових стратегій для збереження конфіденційності особистості в сучасних умовах. Під час переходу від свого старого життя до нового анонімного життя він пішов у відпустку й попросив нас копнути глибше. Клієнт хотів дізнатися, де він ще може бути вразливим, перш ніж потрапить у свій анонімний дім. Маючи письмову згоду на доступ до будь-яких приватних даних клієнта – ми спробували його атакувати. Ділимося результатами із заохоченням клієнта до поширення обізнаності.
Спочатку я підтвердив, що всі його розкриті паролі вже змінено, і що я не можу отримати доступ до жодного з його зламаних облікових записів. Однак я помітив ще дещо цікаве. Під час нещодавнього витоку даних номерів телефонів, який я не бачив раніше, знайшовся один з номерів, пов'язаний з його новими обліковими записами електронної пошти. Порушення конфіденційності виникло з провини онлайн-продавця, якого він використовував для придбання товару. Використаний пароль був належним чином хешований, проте використаний номер телефону все ще залишався великою вразливістю.
Я шукав цей номер у різних службах ідентифікації абонента та підтвердив, що на нього зареєстровані геть різні дані. Це відразу змусило мене запідозрити, що номер пов’язаний зі службою надання тимчасових номерів. Пошук по кешованих сторінках Google нарешті дав мені відповідь. Це був номер, пов'язаний з OnlineSIM, безплатною службою отримання текстових SMS.
Такі сервіси дозволяють використовувати тимчасові номери телефонів для отримання SMS-повідомлень без надання справжнього номера стільникового зв’язку. Вони мені не подобаються. Хоча я за те, щоб використовувати тимчасові email, коли вам потрібно обійти вимогу реєстрації на вебсайтах, я ніколи не рекомендую сервіси тимчасових мобільних номерів. Незабаром ви зрозумієте чому так.
Я зайшов на OnlineSIM, але не побачив цей номер серед тих, які можна обрати для роботи. Мені довелося вибрати опцію «Архів номерів», а потім вибрати країну цілі. Так я побачив попередні номери, які використовували люди, що відвідували сайт. Також побачив архів отриманих вхідних повідомлень. На зображенні нижче показано живе нередаговане подання випадкового номера в США, на якому зберігаються заархівовані вхідні SMS-повідомлення для доступу до облікових записів Apple, Cupcake і PingMe. Область онлайн-номерів повна активних номерів, якими можна зловживати в режимі реального часу.
Я підозрював, що мій клієнт створив онлайн-замовлення, служба вимагала дійсний номер, а він надав номер з цієї тимчасової служби, щоб обійти вимогу. Цю компанію вже було зламано, тому я мав усі необхідні мені дані. Далі я хотів дізнатися, де ще він використовував цей номер.
Архів повідомлень на OnlineSIM для цього номера включав вміст, створений багатьма різними людьми. Ці номери та повідомлення є загальнодоступними, і кожен може зловживати ними за потреби. Щоб не порушувати законів, я хотів переконатися, що маю доступ лише до облікових записів, які належать моєму клієнту. Я повторно оцінив дані, отримані із сервісу онлайн-покупок і визначив точну дату й час замовлення. Я переглядав архіви, доки не знайшов текст перевірки продукту, який він замовив у той самий день і час. Це сталося протягом останнього місяця, тому ідентифікувати було легко. Потім я проаналізував SMS-повідомлення, які також надходили за цим тимчасовим номером приблизно в той самий час.
Найбільше мене зацікавило наступне повідомлення, отримане через кілька хвилин після отримання тексту про перевірку продукту.
Це код підтвердження, який використовується для входу в обліковий запис AirBNB. Я зайшов на AirBNB і вибрав варіант входу:
Потім я ввів загальнодоступний номер з OnlineSIM і отримав екран підтвердження:
Оскільки цей тимчасовий номер був «заархівований», я не міг отримувати жодних нових повідомлень через публічний сайт. Проте цей номер можна було «орендувати» через той самий сервіс за кілька доларів. Це дозволяє будь-кому отримати текст підтвердження та отримати доступ до облікового запису:
Тоді можна отримати доступ до всіх повідомлень:
І отримати доступ до його поточного місцеперебування:
Маючи необмежений доступ до цього номера, можна було б увійти в його Instagram за допомогою перевірки номера, що дало б доступ до налаштувань його облікового запису:
Таким чином я б міг отримати електронну адресу та ще один номер телефону для продовження пошуку. Будь-хто зі зловмисними намірами може перехопити вхідні SMS-повідомлення на OnlineSIM і заволодіти більшістю ваших облікових записів. Поки я це писав, хтось скористався цією послугою, щоб створити обліковий запис на Signal. Я міг би використати той самий номер, щоб заволодіти їхнім рахунком (я цього не зробив).
Я зупинився на тому, що врешті-решт отримав доступ до вмісту чужих повідомлень без авторизації. Коли я пишу це, у режимі реального часу приходять нові повідомлення для підтвердження різних облікових записів, пов’язаних із загальнодоступним номером з Великобританії. Будь-хто міг викрасти ці облікові записи, надіславши запит на доступ до облікового запису або змінивши пароль за допомогою SMS-підтвердження.
Шкоди для мого клієнта було завдано. Якби б я був зловмисником, я міг би використати ці дані для ідентифікації інших облікових записів, й врешті-решт отримати доступ до будь-яких облікових записів, які зараз використовують цей номер для перевірки. Я грав за правилами з письмової згоди. Злочинця це не хвилює. Ось чому я ніколи не рекомендую тимчасові номери телефонів для чогось «справжнього» або для облікових записів, які дозволяють вхід (або скидання пароля) за допомогою SMS.
Сервіси тимчасових номерів телефонів та email мають право на існування, але ми повинні бути дуже обережними, коли їх використовуємо.