뉴멕시코, 애리조나, 루이지애나 대학과 Circle 회사의 연구원들은 “우리는 이러한 공격이 규모에 맞게 테스트, 검증 및 실행하기 쉽다고 주장합니다.”라고 썼습니다. "위협 모델은 소비자급 하드웨어와 기본에서 중급 웹 보안 지식만 사용하여 실현할 수 있습니다."
SMS 메시지는 암호화되지 않은 상태로 전송됩니다. 지난 몇 년 동안 연구자들은 인증 링크와 사람의 이름, 주소를 포함한 개인 정보가 포함된 이전에 전송된 문자의 공개 데이터베이스를 발굴했습니다. 2019년에 발견된 그러한 발견 중 하나에는 단일 기업과 고객 간에 수년 동안 주고받은 수백만 건의 저장된 문자 메시지가 포함되었습니다. 여기에는 사용자 이름과 비밀번호, 대학 재정 애플리케이션, 할인 코드와 채용 알림이 포함된 마케팅 메시지가 포함되었습니다.
알려진 불안에도 불구하고 이러한 관행은 계속 번성하고 있습니다. 윤리적인 이유로 이 연구를 수행한 연구자들은 액세스 제어를 우회해야 하기 때문에 실제 규모를 포착할 방법이 없었습니다. 프로세스에 대한 제한된 시각만을 제공하는 렌즈로서 연구원들은 공용 SMS 게이트웨이를 보았습니다. 이러한 웹사이트는 일반적으로 사람들이 자신의 전화번호를 공개하지 않고 임시 번호를 사용하여 문자 메시지를 받을 수 있도록 하는 광고 기반 웹사이트입니다. 이러한 게이트웨이의 예는 여기와 여기에 있습니다.
SMS로 전송된 인증 메시지에 대한 제한된 보기로 인해 연구원들은 실제 관행 범위와 이로 인한 보안 및 개인 정보 보호 위험을 측정할 수 없었습니다. 하지만 그들의 연구 결과는 주목할 만했습니다.
연구원들은 30,000개 이상의 전화번호로 전송된 3,300만 개의 문자에서 추출한 332,000개의 고유한 SMS 전달 URL을 수집했습니다. 연구원들은 이를 수신하는 사람들에 대한 보안 및 개인 정보 보호 위협에 대한 수많은 증거를 발견했습니다. 연구원들은 이 중 177개 서비스를 대신하여 전송된 701개의 엔드포인트에서 보낸 메시지가 "중요한 개인 식별 정보"를 노출했다고 밝혔습니다. 노출의 근본 원인은 확인을 위해 토큰화된 링크를 기반으로 한 취약한 인증이었습니다. 링크가 있는 사람은 누구나 이 서비스에서 주민등록번호, 생년월일, 은행 계좌 번호, 신용 점수 등 사용자의 개인 정보를 얻을 수 있습니다.