Εικόνα: Getty Images
Σύμφωνα με δεδομένα της Ομοσπονδιακής Επιτροπής Επικοινωνιών, σχεδόν 35 εκατομμύρια τηλεφωνικοί αριθμοί αποσυνδέονται κάθε χρόνο. Μια νέα μελέτη δείχνει ότι η πλειοψηφία αυτών των αριθμών παραμένουν συνδεδεμένοι με τον προηγούμενο ιδιοκτήτη, ανοίγοντας την πόρτα σε επιθέσεις που μπορούν να θέσουν τον πρώην χρήστη σε σημαντικό κίνδυνο.Η καινούργια μελέτη που διεξήγαγαν ερευνητές από το Τμήμα Επιστήμης των Υπολογιστών και Κέντρο Πολιτικής της Τεχνολογίας της Πληροφορίας στο Πανεπιστήμιο Princeton εξέτασε 259 τηλεφωνικούς αριθμούς που ήταν διαθέσιμοι για νέους συνδρομητές σε δύο μεγάλους παρόχους wireless και διαπιστώθηκε ότι οι 171 ήταν ακόμα συνδεδεμένοι με υπάρχοντες λογαριασμούς σε δημοφιλή websites, δημιουργώντας σημαντικά ζητήματα ιδιωτικότητας. Λόγω του τρόπου που φτιάχνονται πολλοί διαδικτυακοί λογαριασμοί, ένας λογαριασμός μπορεί να χακαριστεί αρκεί κάποιος να έχει πρόσβαση σε έναν τηλεφωνικό αριθμό που συνδέεται με αυτόν.Η ανακύκλωση αριθμών ρυθμίζεται από πρακτικές της βιομηχανίας τηλεπικοινωνιών που υποστηρίζει τη σταθερή διαθεσιμότητα νέων δεκαψήφιων αριθμών, καθώς οι χρήστες αλλάζουν κινητά και νούμερα ή κόβουν λογαριασμούς που δεν χρειάζονται πια. Σύμφωνα με πιο παλιές μελέτες η αλλαγή αριθμού ανοίγει την πόρτα σε παρενόχληση, κατάχρηση ιδιωτικότητα και ανεπιθύμητες προωθήσεις προϊόντων. Αλλά η μελέτη του Princeton δείχνει ότι οι πάροχοι δεν κάνουν αρκετά τη στιγμή της πώλησης για να περιορίσουν τη δυνητικά σημαντική κατάχρηση από τρίτους και συχνά παρέχουν ασυνεπείς πληροφορίες στους χρήστες για το πώς λειτουργεί η διαδικασία.«Στους παρόχους που επιτρέπουν να δεις τον πλήρη αριθμό –είτε όταν εγγράφεσαι είτε όταν αλλάζεις αριθμό– ένας επίδοξος χάκερ μπορεί να τσεκάρει έναν αριθμό ψάχνοντας να βρει συνδεδεμένους λογαριασμούς και το ιστορικό του ιδιοκτήτη, πριν πάρει καν τον ανακυκλωμένο αριθμό», σύμφωνα με τη μελέτη. Επίσης, η μελέτη δείχνει ότι υπήρχαν μέχρι και οκτώ διαφορετικές επιθέσεις που μπορούσαν να γίνουν για να γίνει εκμετάλλευση της ανακύκλωσης αριθμού, που περιλάμβαναν τη χρήση υπηρεσιών αναζήτησης ατόμων και τηλεφωνικών αριθμών για τη συγκέντρωση επιπλέον προσωπικών πληροφοριών, επιθέσεις phishing, επιθέσεις άρνησης υπηρεσιών και χακάρισμα λογαριασμού με ή χωρίς εξουσιοδοτημένη αλλαγή κωδικού πρόσβασης.Οι ερευνητές διαπίστωσαν ότι οι χάκερ δεν χρειάζεται καν να εκμεταλλευτούν ευάλωτα σημεία λογισμικού, αρκεί να ρίξουν μια ματιά σε διαθέσιμους αριθμούς προς αγορά. Στη Verizon διαπιστώθηκε ότι σχεδόν ένα εκατομμύριο αριθμοί είναι διαθέσιμοι για να τους δει όποιος θέλει online και κάθε μήνα γίνονται διαθέσιμοι ακόμα περισσότεροι.«Διαπιστώσαμε ότι υπήρχαν λίγοι περιορισμοί στη δυνατότητα αναζήτησης και την απόκτηση αριθμών που χρησιμοποιούνταν παλιά, με σκοπό εκμετάλλευσης», λένε.Οι ερευνητές Arvind Narayanan και Kevin Lee επίσης διαπίστωσαν ότι 100 από τα 259 νούμερα που εξετάστηκαν στο δείγμα τους ήδη σχετίζονταν με στοιχεία login που είχαν διαρρεύσει και κυκλοφορούσαν, ανοίγονταν την πόρτα σε επιθέσεις που προσπερνούσαν τον έλεγχο ταυτότητας χρήστη δύο παραγόντων μέσω SMSΟι ερευνητές δηλώνουν ότι μετά το συμβόλαιο, η Verizon και η T-Mobile ανανεώνουν την υποστήριξη πελάτη και υπενθυμίζουν στους πελάτες ότι αριθμοί τηλεφώνου που δεν χρησιμοποιούνται μπορεί να συνδέονται ακόμα με διαδικτυακούς λογαριασμούς, οδηγώντας δυνητικά σε κατάχρηση.«Δυστυχώς οι πάροχοι βάζουν λίγους περιορισμούς στη δυνατότητα αναζήτησης διαθέσιμων αριθμών και την απόκτηση ευάλωτων», είπε ο Narayanan Twitter. «Αφότου τους αποκαλύψαμε το θέμα πριν από μερικούς μήνες, η Verizon και η T-mobile βελτίωσαν την καταγραφή τους χωρίς όμως να καταστήσουν την περιήγηση πιο δύσκολη».Οι ερευνητές διαπίστωσαν ότι οι πάροχοι μπορούσαν να μειώσουν επιπλέον την απειλή περιορίζοντας τις απεριόριστες έρευνες για τηλεφωνικούς αριθμούς στα websites τους και αναγκάζοντας τους χρήστες να επικοινωνούν με την εξυπηρέτηση πελατών αντί να επιτρέπουν την έρευνα τηλεφωνικών αριθμών στο ίντερνετ.Ο Narayanan και ο Lee επισήμαναν ότι οι χρήστες που θέλουν να προστατευτούν θα πρέπει να μεταφέρουν τον αριθμό τους όταν αλλάζουν συσκευή ή να αποθηκεύουν τον αριθμό που δεν θέλουν πια να χρησιμοποιούν σε υπηρεσίες όπως το NumberBarn ή το Google Voice. Η αδυναμία ελέγχου της κατάχρησης ανακυκλωμένων τηλεφωνικών αριθμών παίζει ρόλο σε μια μήνυση περί ιδιωτικότητας ενάντια στην Apple, όπου υποστηρίζεται ότι ένα σφάλμα του iOS σε συνδυασμό με ανακυκλωμένα νούμερα της T-Mobile έδωσε σε τρίτους πρόσβαση σε επικοινωνίες χρηστών όπως τα iMessages και κλήσεις Facetime.Η μελέτη έρχεται σε μια στιγμή που όλο και περισσότερες έρευνες δείχνουν ότι ο έλεγχος ταυτότητας δύο παραγόντων μέσω sms δεν είναι ασφαλής. Είτε μιλάμε για υφαρπαγή κάρτας SIM είτε για την εκμετάλλευση σφαλμάτων σε SMS για την ανακατεύθυνση ευαίσθητων μηνυμάτων σε τρίτους, οι ερευνητές λένε ότι οι καταναλωτές είναι καλύτερα να χρησιμοποιούν έλεγχο ταυτότητας χρήστη δύο παραγόντων μέσω email ή εφαρμογές ελέγχου ταυτότητας.Το άρθρο δημοσιεύτηκε αρχικά στα αγγλικά (www.vice.com/en).
ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ
Περισσότερα από το VICEΜπορείς να Κάνεις Ακτιβισμό για την Κλιματική Κρίση Από το ΣπίτιΙστορίες Μαμάδων στην Ελλάδα που Δεν το Έβαλαν ΚάτωΤο "La Casa de Papel" του Ευκλείδη ΤσακαλώτουΑκολουθήστε το VICE σε Facebook, Instagram και Twitter.Για τα καλύτερα θέματα του VICE Greece, γραφτείτε στο εβδομαδιαίο Newsletter μας.