وكتب الباحثون من جامعات نيو مكسيكو وأريزونا ولويزيانا وشركة سيركل: “نرى أن هذه الهجمات سهلة الاختبار والتحقق والتنفيذ على نطاق واسع”. “يمكن تحقيق نموذج التهديد باستخدام أجهزة من فئة المستهلك والمعرفة الأساسية والمتوسطة فقط بأمن الويب.”
يتم إرسال رسائل SMS غير مشفرة. وفي السنوات الماضية، اكتشف الباحثون قواعد بيانات عامة للنصوص المرسلة مسبقًا والتي تحتوي على روابط مصادقة وتفاصيل خاصة، بما في ذلك أسماء الأشخاص وعناوينهم. أحد هذه الاكتشافات، منذ عام 2019، شمل الملايين من الرسائل النصية المرسلة والمستقبلة المخزنة على مر السنين بين شركة واحدة وعملائها. وتضمنت أسماء المستخدمين وكلمات المرور، وتطبيقات التمويل الجامعي، ورسائل التسويق مع رموز الخصم وتنبيهات الوظائف.
وعلى الرغم من انعدام الأمن المعروف، فإن هذه الممارسة لا تزال تزدهر. ولأسباب أخلاقية، لم يكن لدى الباحثين الذين قاموا بهذه الدراسة أي وسيلة للتعرف على نطاقها الحقيقي، لأنها تتطلب تجاوز ضوابط الوصول، مهما كانت ضعيفة. وباعتبارها عدسة لا تقدم سوى رؤية محدودة للعملية، فقد شاهد الباحثون بوابات الرسائل النصية القصيرة العامة. عادةً ما تكون هذه مواقع ويب تعتمد على الإعلانات وتسمح للأشخاص باستخدام رقم مؤقت لتلقي الرسائل النصية دون الكشف عن رقم هاتفهم. أمثلة على هذه البوابات هنا وهنا.
مع هذه الرؤية المحدودة لرسائل المصادقة المرسلة عبر الرسائل النصية القصيرة، لم يتمكن الباحثون من قياس النطاق الحقيقي لهذه الممارسة والمخاطر الأمنية والخصوصية التي تشكلها. ومع ذلك، كانت النتائج التي توصلوا إليها ملحوظة.
قام الباحثون بجمع 322,949 عنوان URL فريدًا تم تسليمه عبر الرسائل النصية القصيرة، تم استخراجه من أكثر من 33 مليون نص، وتم إرساله إلى أكثر من 30,000 رقم هاتف. ووجد الباحثون أدلة عديدة على تهديدات الأمن والخصوصية للأشخاص الذين يتلقون هذه الرسائل. وقال الباحثون إن من بين هذه الرسائل الصادرة من 701 نقطة نهاية مرسلة نيابة عن 177 خدمة كشفت عن “معلومات تعريف شخصية مهمة”. كان السبب الجذري للتعرض هو ضعف المصادقة بناءً على الروابط المميزة للتحقق. يمكن لأي شخص لديه الرابط بعد ذلك الحصول على المعلومات الشخصية للمستخدمين – بما في ذلك أرقام الضمان الاجتماعي وتواريخ الميلاد وأرقام الحسابات المصرفية ودرجات الائتمان – من هذه الخدمات.
