Вчера вечером Google Fi сообщил клиентам об утечке данных, которая, по крайней мере для одного человека, обернулась гораздо более серьезной ситуацией, связанной с переносом его номера телефона на другое устройство и взломом аккаунтов в реальном времени.
В своем сообщении об утечке данных Google Fi сообщил клиентам, что «ограниченное количество данных клиентов Google Fi» было получено третьей стороной, пояснив, что данные включали некоторую информацию об аккаунте, серийные номера SIM-карт и статус аккаунта, но никакие личные данные, такие как имена, даты рождения или другие конфиденциальные сведения, не были раскрыты.
Однако это электронное письмо отличалось для по крайней мере одного клиента.
Поделившись на Reddit, клиент Google Fi сообщил, что в его письме от Google упоминалось о переносе его телефонной услуги на другую SIM-карту примерно на два часа. В письме говорилось:
Кроме того, 1 января 2023 года в течение примерно 1 часа 48 минут ваша мобильная телефонная услуга была перенесена с вашей SIM-карты на другую SIM-карту. Во время этого временного переноса несанкционированный доступ мог включать использование вашего телефонного номера для отправки и получения телефонных звонков и текстовых сообщений. Несмотря на перенос SIM-карты, доступ к вашей голосовой почте не мог быть получен. Мы восстановили услугу Google Fi на вашей SIM-карте.
После этого 9to5Google связался с этим клиентом Fi, который объяснил ситуацию, с которой он столкнулся, и предоставил доказательства в поддержку этих деталей.
1 января клиент получал уведомления о несанкционированном доступе и сбросе паролей от онлайн-аккаунтов по электронной почте, в том числе для своего почтового ящика Outlook, аккаунта криптокошелька и Authy. Все эти аккаунты были доступны третьей стороне, и в случае Outlook и криптоаккаунта пароли были успешно сброшены. Журналы из этих сервисов, просмотренные 9to5Google, показали, что злоумышленник получил доступ к телефонной службе клиента, используя номер для получения SMS-кодов для этих аккаунтов и получения доступа.
История SMS-сообщений Google Fi – которая показывает телефонный номер отправленных или полученных сообщений, но не их содержимое – на уровне аккаунта показала, что SMS-сообщения от служб двухфакторной аутентификации были отправлены в течение одной минуты после того, как злоумышленник получил доступ к этим аккаунтам.
Пугающе, но клиент узнал обо всем этом только благодаря оповещениям по электронной почте, поскольку SMS-сообщения не поступали на его смартфон, так как его номер телефона был перенесен на SIM-карту злоумышленника. Несколько SMS-сообщений были обменены в течение периода времени (примерно 45 минут), в течение которого злоумышленник имел доступ к этому номеру телефона, включая коды двухфакторной аутентификации, использованные для получения доступа к аккаунтам, а также новые коды, отправленные затронутым клиентом, пока он пытался восстановить доступ к своим аккаунтам.
В конечном итоге клиент смог восстановить доступ к своим аккаунтам, а также к своему номеру телефона, отключив и снова включив сетевой доступ на своем iPhone. Неясно, является ли этот процесс причиной прекращения доступа злоумышленника или это было простое совпадение.
В упомянутом выше письме (которое было криптографически проверено специалистом по безопасности, который ранее работал в Google), Google рекомендовал клиенту отключить коды двухфакторной аутентификации и предложил клиенту два года кредитного мониторинга и защиты от кражи личных данных, чего не было в письме, отправленном другим клиентам (выделено нами).
Вот наши советы по обеспечению безопасности в Интернете. К ним относятся прохождение проверки безопасности, использование безопасных сетей при просмотре веб-страниц и выбор настроек конфиденциальности, включая двухэтапную проверку, не основанную на SMS, которые могут помочь защитить безопасность ваших данных.
Так что же произошло?
На самом деле, это не совсем ясно, и клиент сообщил нам, что представители службы поддержки Fi не смогли предоставить никаких подробностей и в некоторой степени преуменьшили значение этого случая.
Типичная атака «SIM-свопинга» не объясняет, как злоумышленнику удалось удаленно перенести услугу с одной SIM-карты на другую. Этот клиент, что примечательно, использовал физическую SIM-карту, а не eSIM. Атака SS7 кажется правдоподобной, но упоминание Google этой детали в письме, касающемся утечки данных, затронувшей других клиентов, добавляет множество других уровней к ситуации. Это, безусловно, подразумевает, что утечка данных, которая началась с 37 миллионов клиентов T-Mobile, имела какое-то отношение к этому инциденту.
Очевидно, эта ситуация поднимает несколько важных вопросов. Были ли затронуты другие клиенты? Были ли эти клиенты затронуты в течение того же периода времени? Была ли это целенаправленная атака? И, возможно, самое главное, была ли T-Mobile также затронута аналогичным образом?
Мы обратились к Google за дополнительной информацией по этому аспекту утечки данных, но компания не ответила на наш запрос.
Если вы являетесь клиентом Google Fi и получили аналогичное сообщение от Google, пожалуйста, свяжитесь с нами по электронной почте.