Представители Центра анализа и расследования кибератак заявили о том, что на портале электронного правительства Egov.kz неправильно реализована аутентификация через SMS.
Напомним — недавно Министерство информации и коммуникаций объявило о введении системы аутентификации пользователей через SMS на портале eGov, что вызвало массу критических высказываний от участников ИТ-рынка. Коме очевидной небезопасности подобного решения специалисты ссылаются на международный опыт. В качестве одного из примеров приводится решение Google, предложившей своим пользователям отказаться от SMS-аутентификации. Причины этого уже не раз обсуждались: злоумышленники способны перенаправить SMS на свой телефон, помимо этого известно множество вредоносных программ для мобильных устройств, которые умеют воровать не только одноразовые коды, приходящие по SMS, но и отслеживать любой текст, который пользователь вводит на своем гаджете.
Как отмечается в отчете Positive Research 2017, составленном специалистами Positive Technologies, передача одноразовых кодов посредством SMS небезопасна, так как мобильная связь в целом небезопасна. Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществить из любой точки мира, а возможности злоумышленников не ограничиваются взломом мессенджеров.