Специалисты установили, что одноразовые СМС-ссылки не являются одноразовыми и годами остаются активными, открывая доступ к персональным данным пользователей.
Изучение массива из 33 миллионов SMS показало наличие более 700 уязвимых мест, исходящих от 177 различных платформ, которые способны раскрыть персональные сведения, такие как имена, номера телефонов, почтовые адреса, дни рождения, банковские данные и иную частную информацию. Значительное количество этих ссылок функционировало более двух лет и не требовало подтверждения личности. Около 73% проанализированных сервисов применяли небезопасные идентификаторы, что облегчало злоумышленникам возможность кражи личных данных.
В некоторых случаях исследователи смогли незаконно получить доступ к чужим данным, затратив на это менее десяти попыток. Авторы проведённой работы уведомили 150 компаний, чьи платформы были признаны уязвимыми, о выявленной проблеме. Отклик поступил лишь от 18 из них, а фактические меры по устранению недостатков предприняли только 7.
Исследователи полагают, что доверие к SMS-ссылкам как к безопасному средству связи является фундаментальной проблемой. До тех пор, пока подобные механизмы разрабатываются с акцентом на удобство использования, а не на обеспечение безопасности, риск несанкционированного доступа к данным останется высоким.