In rete si legge spesso quanto sia importante usare l'autenticazione a due fattori per evitare accessi indesiderati e guai peggiori ad account e servizi, e spesso anche noi abbiamo sottolineato l'importanza di fare affidamento sulla 2FA per proteggersi e continueremo a farlo. Tuttavia quando la 2FA è basata su codici spediti via SMS non è esente da rischi. Per fortuna è in aumento il numero di aziende che ha eliminato questa tecnica per delle altre più moderne, ma in troppi casi si usa ancora il vecchio - e insicuro, è proprio il caso di dirlo - messaggio SMS.
Gli SMS viaggiano con l'avviso di non condividere il codice con nessuno. Ma anche se l'utente tiene il codice per sé, il problema sta nella vulnerabilità della tecnologia che fa da tramite. Gli SMS infatti passano da diversi intermediari prima di andare dal mittente (l'azienda) al destinatario (l'utente che vuole accedere al servizio), e in questo percorso è possibile che dei terzi possano intercettare e nel peggiore dei casi leggere il contenuto dei messaggi senza che mittente e destinatario lo sappiano.
Un esempio sul percorso dei codici via messaggi e i rischi lo ha pubblicato Bloomberg dopo aver raccolto informazioni da un confidente, dati riservati su circa 1 milione di SMS contenenti dei codici per l'autenticazione a due fattori inviati a giugno 2023.
Tutti i messaggi inviati ai clienti da aziende di primo piano del calibro di Google, Meta, Amazon, alcune banche europee, app come Tinder o Snapchat, e persino piattaforme di messaggistica criptate come Signal e WhatsApp, sono transitati da Fink Telecom Services, una piccola azienda svizzera dal passato con diversi episodi opachi, tra cui un'indagine che aveva collegato l'azienda elvetica con intercettazioni di codici usati per accedere a account email e crypto wallet di utenti israeliani.
Bloomberg scrive:
Ognuno di essi (gli SMS con i codici 2FA, ndr) è passato tra le mani di una sconosciuta società svizzera chiamata Fink Telecom Services. L'azienda e il suo fondatore hanno collaborato con agenzie governative di spionaggio e appaltatori nel settore della sorveglianza per sorvegliare i telefoni cellulari e tracciare la posizione degli utenti.
Un bel problema, dal momento che a un hacker privato o anche governativo bastavano nome utente e password di un utente totalmente tranquillo di essere al sicuro con la protezione dell'autenticazione a due fattori per "bucare" il sistema e infiltrarsi in account di ogni tipo, dai social alle piattaforme bancarie. La società in questione ha negato accessi al contenuto dei messaggi con i codici 2FA o di essere stata coinvolta di recente in attività illecite, e ha riconosciuto lei in primis che la spedizione dei codici via SMS non è sicura, addossando la colpa sulle aziende che continuano a utilizzarla per trasmettere informazioni sensibili.
Il sistema dei codici 2FA via SMS è opaco, e le aziende non sempre sanno con chi lavorano dato che si rivolgono spesso a fornitori che finiscono per subappaltare i lavori a realtà più piccole e potenzialmente senza molti scrupoli. Google, Meta, Signal e Binance, contattate dai colleghi, hanno dichiarato di non lavorare direttamente con Fink Telecom, Meta ha dichiarato di aver chiesto ai suoi partner di non lavorare con Fink.
Polestar 3: un aggiornamento porta a bordo l'atmosfera degli Abbey Road Studios