В даркнете появилось объявление о продаже трёх терабайт данных, якобы похищенных у двух крупных российских SMS-агрегаторов, сообщает SecurityLab. Продавец утверждает, что в утечке содержатся имена, номера телефонов, IP-адреса, сообщения банков, активационные коды и другие конфиденциальные сведения.
Для подтверждения своих слов злоумышленник прикрепил ссылку на файлообменник и контакты в мессенджерах Telegram, Signal и электронной почте. Официального подтверждения инцидента пока нет.
Эксперты отмечают, что подобная атака представляет собой угрозу цепочке поставок (supply chain) цифровых сервисов. Через SMS-каналы тысячи приложений передают одноразовые коды, PIN-коды, ссылки на сброс пароля и уведомления. Перехват этих данных открывает путь к массовому захвату аккаунтов пользователей — от почты и банков до мессенджеров и криптосервисов. Аналогичный инцидент в 2022 году с Twilio затронул 163 компании и около 1900 аккаунтов Signal.
Кроме прямого доступа к кодам 2FA, злоумышленники могут отправлять сообщения с доверенных имён и коротких номеров (short code / альфа-ID), обходя фильтры и создавая каналы для фишинга, мошенничества и атак BEC. Доступ к базам номеров, текстам сообщений и метаданным (время отправки, получатели) ценен для целевых атак, шантажа и слежки. Ранее подобные риски фиксировались при взломе Syniverse и Mitto, когда под угрозой оказывались миллиарды сообщений и возможность отслеживания пользователей.
Компрометация SMS-каналов также ставит под угрозу корпоративные и административные системы. Через такие каналы злоумышленники могут атаковать MFA-системы сотрудников, получить доступ к почте, облачным сервисам и CI/CD. В 2024 году инцидент с Authy подтвердил компрометацию 33 млн номеров через незащищённый узел.
Помимо технических рисков, возможны финансовые и репутационные последствия: непредвиденные расходы на рассылки, штрафы за нарушение законов о защите персональных данных (ФЗ-152, GDPR, CCPA) и падение доверия к SMS-каналам для уведомлений. На данный момент ни агрегаторы, ни операторы связи, ни регуляторы не подтвердили факта утечки.
