Naponta a világ telefonhálózatai milliárdnyi jelszót és bejelentkezési kódot továbbítanak. A technológiai cégek ezekre a kódokra támaszkodnak, hogy a felhasználókat biztonságosan bejelentkezve tartsák az alkalmazásokba és fiókokba, bárhol is legyenek. Ideális esetben ezek a kódok a lehető leggyorsabban és legolcsóbban jutnak el a felhasználókhoz. A legtöbb ember számára mindez kisebb kellemetlenséget jelent – egészen addig, amíg egy biztonsági rés komoly kockázattá nem válik.
Ahelyett, hogy a kódokat közvetlenül az ügyfeleknek küldenék – ami költséges és nem hatékony lenne –, a vállalatok, köztük bankok és a nagy tech cégek, kiszervezik ezt a feladatot. Az üzenetek egy összetett, gyakran átláthatatlan alvállalkozói hálózaton keresztül utaznak, ahol minden résztvevő az átfutási költségek csökkentésére törekszik. Ezt az iparágban „legalacsonyabb költségű útvonalnak” (lowest cost routing) nevezik. A probléma? A lánc bármelyik közvetítője potenciálisan hozzáférhet az érzékeny információkhoz. A „Ne ossza meg senkivel” figyelmeztetést tartalmazó kódok már ismeretlen felekhez is eljuthattak.
Módszerek
A Lighthouse közel 100 millió adatcsomagot szerzett egy telefonipari forrástól, ami szokatlan betekintést nyújtott egy vitatott svájci szolgáltató által kezelt távközlési forgalomba. Ezeknek a csomagoknak milliói tartalmaztak „A2P” (alkalmazástól személyhez) SMS-üzeneteket. Elemeztük őket a feladók, címzettek és az üzenetek tartalmának meghatározása érdekében.
Vizsgálatunk során több millió biztonsági kódot és bejelentkezést találtunk, amelyek a Fink Telecom Services hálózatán keresztül érkeztek. Ezek az üzenetek globális tech óriások – köztük a Google, a Meta és az Amazon – szolgáltatásait, valamint bankokat, kriptotőzsdéket, társkereső platformokat, online piactereket és üzenetküldő alkalmazásokat, például a WhatsAppot, Vibert és Signalt ölelték fel. Összesen több mint 1 000 olyan céget azonosítottunk, amelyek a Fink Andreas által üzemeltetett hálózaton keresztül küldtek bejelentkezési adatokat. Sok üzenet tartalmazta a fiókneveket, bejelentkezési kódokat és telefonszámokat is.
Történetek
2023-ban kiderítettük, hogy Fink a kormányoknak és megfigyelő cégeknek is nyújtott helymeghatározó szolgáltatásokat világszerte. Hálózata több súlyos incidenssel állt kapcsolatban, többek között egy mexikói újságíró meggyilkolásával, e-mail fiókok feltörésével Délkelet-Ázsiában és kriptotárcák eltérítésével Izraelben – események, amelyeket Fink vagy tagadott, vagy ügyfelei felhasználóira hárított.
Hogyan férhetnek hozzá ilyen érzékeny adatokhoz megbízhatatlan közvetítők, mint a Fink Telecom? A technológiai cégek a világ minden tájára gyorsabb és olcsóbb kézbesítést ígérő, átláthatatlan szolgáltatói piactérre bízzák az üzeneteket.
„Semmi sem akadályozza, hogy bárki elvégezze ezt a munkát” – mondta egy iparági bennfentes. „Egy cég gyorsan kezelhet milliárdnyi üzenetet.”
A Fink Telecom és hasonló cégek azzal tartják alacsonyan a költségeket, hogy több ország „globális címét” használják – hálózati hozzáférési pontokat, amelyek lehetővé teszik a távközlési operátorok számára a nemzetközi kapcsolódást. Ahogy a telefonipar globalizálódott, ezeknek a címeknek a bérlése gyakorivá vált, lehetővé téve, hogy a cégek távoli országokban is működőképesnek tűnjenek. A vizsgálat során Fink Telecom globális címeket használt Namíbiában, Csecsenföldön, az Egyesült Királyságban és Svájcban. Az Egyesült Királyság nemrég betiltotta a belföldi globális címek harmadik félnek történő bérlését a megfigyelés és fiókbiztonság kockázatai miatt. Jelentésünk után a Meta közölte, hogy utasította partnereit, hogy kerüljék a Fink Telecom alvállalkozóként való igénybevételét. Ennek ellenére a magánélet védelmével foglalkozó szakértők kétségbe vonják, hogy a tech cégek megfelelő gondosságot tanúsítanak-e az üzenetküldési ellátási láncaikban.