Un milione di codici 2FA via SMS sono stati intercettati da una società estera: a rischio la sicurezza di Google, Meta e altri.
Scoperta clamorosa: intercettati un milione di codici 2FA via SMS
Una nuova indagine ha rivelato una grave falla di sicurezza che coinvolge i codici di autenticazione a due fattori (2FA) inviati tramite SMS. Secondo quanto emerso, circa un milione di questi codici sono stati intercettati da un’azienda straniera con presunti collegamenti ad agenzie governative e società specializzate in sorveglianza digitale.
L’allarme arriva da una segnalazione interna al settore, che ha fornito documenti e dati non pubblici a Bloomberg e Lighthouse Reports, mostrando come milioni di SMS di sicurezza siano passati per le mani di un operatore poco conosciuto: la svizzera Fink Telecom Services.
Cosa è successo e quali aziende sono coinvolte
Il sistema di autenticazione a due fattori è oggi uno dei principali strumenti di protezione online. In pratica, dopo aver inserito la propria password, viene richiesto un codice temporaneo, spesso di 6 cifre, che può essere generato tramite app di autenticazione o inviato via SMS al numero di telefono registrato.
Il problema risiede proprio nell’invio tramite SMS, un protocollo privo di crittografia end-to-end, facilmente intercettabile lungo le dorsali delle reti telefoniche globali. In questo caso specifico, la società Fink Telecom Services avrebbe gestito il transito di circa 1 milione di messaggi 2FA nel giugno 2023, esponendo dati sensibili di utenti in oltre 100 Paesi.
Tra i mittenti di questi SMS compromessi compaiono giganti come:
- Google.
- Meta (Facebook, Instagram e WhatsApp).
- Amazon.
- Binance (exchange di criptovalute).
- Signal e WhatsApp (non per le chat criptate, ma per la verifica account).
- Diverse banche europee.
- Applicazioni popolari come Tinder e Snapchat.
Secondo gli esperti, questa falla apre la porta a potenziali attacchi in cui un hacker, in possesso di username e password rubati, potrebbe completare l’accesso sfruttando i codici intercettati.
I rischi concreti per gli utenti e gli SMS
Se confermata su larga scala, la vicenda mostra ancora una volta quanto sia vulnerabile la sicurezza basata sugli SMS. Chiunque abbia accesso alla rete di trasporto dei messaggi, come operatori, enti governativi o hacker specializzati, può potenzialmente leggere e archiviare questi codici di verifica.
L’azienda svizzera coinvolta ha dichiarato pubblicamente di occuparsi solo di “servizi di instradamento” e di non essere più attiva nel settore della sorveglianza. Tuttavia, numerosi esperti di cybersicurezza hanno già collegato in passato il nome di Fink a episodi di accessi non autorizzati tramite intercettazione di SMS 2FA.
Questo significa che persino utenti che ritenevano il proprio account protetto grazie alla verifica in due passaggi potrebbero trovarsi esposti, soprattutto se il secondo fattore era affidato esclusivamente al canale SMS.
Come proteggersi: i consigli degli esperti
Alla luce di quanto emerso, è fondamentale adottare metodi di autenticazione più sicuri. Gli esperti consigliano di:
- Preferire sempre app di autenticazione (come Google Authenticator, Microsoft Authenticator, 1Password ecc.).
- Evitare, dove possibile, la ricezione dei codici 2FA tramite SMS.
- Attivare notifiche di sicurezza per ogni accesso sospetto ai propri account.
- Utilizzare password uniche e complesse per ogni servizio online.
- Abilitare funzioni di verifica biometrica o chiavi di sicurezza fisiche (come YubiKey).
L’autenticazione tramite SMS resta certamente meglio di nessuna protezione, ma ormai viene considerata un’opzione obsoleta e vulnerabile nel panorama della sicurezza informatica moderna.
[fonte]