Хакеры в даркнете выставили на продажу 3 ТБ данных, предположительно украденных у российских SMS-агрегаторов
Изображение: recraft
В даркнет-экосистеме появился тревожный сигнал для всей российской цифровой инфраструктуры. Под ником ByteToBreach неизвестный пользователь разместил объявление о продаже 3 терабайт информации, якобы полученной в результате взлома двух крупнейших SMS-агрегаторов, обслуживающих тысячи отечественных сервисов. Заявлено, что в массив попали имена, номера телефонов, IP-адреса, банковские сообщения, одноразовые коды и другие чувствительные сведения.
В описании лота ,сказано, что часть содержимого была удалена до эксфильтрации, что может затруднить внутренние расследования и восстановление процессов. Злоумышленник приложил ссылку на файлообменник и оставил контакты в Telegram, Signal и по электронной почте. На момент публикации официальных подтверждений взлома от названных компаний не поступало.
По мнению специалистов, потенциальный инцидент носит признаки атаки на цепочку поставок. Речь идёт не о целенаправленном взломе конкретного банка или соцсети, а об использовании промежуточного звена, через которое ежедневно проходят миллионы одноразовых кодов подтверждения, ссылок на восстановление паролей и иных транзакционных сообщений.
Сценарии развития событий при подтверждении утечки могут быть крайне опасными. Во-первых, злоумышленники получают инструменты для перехвата сообщений, содержащих 2FA-коды. Это открывает путь к массовым угонам аккаунтов — от электронной почты и мессенджеров до криптокошельков, интернет-банков и админ-панелей. Прецеденты уже были: после компрометации Twilio в 2022 году пострадали 163 компании, в том числе Signal, где злоумышленники получили доступ к почти 1900 аккаунтам.
Во-вторых, если хакеры проникли в административные панели, они могли получить возможность рассылать SMS от имени доверенных отправителей с коротких номеров. Это создаёт идеальную среду для масштабных фишинговых кампаний, подделки сообщений от банков и крупных сервисов, а также реализации схем BEC — атак на бизнес-переписку.
В-третьих, сами базы с номерами, телеметрией и текстами сообщений могут использоваться для таргетированной слежки, шантажа или персонализированного фишинга. Напоминается случай с Syniverse, когда из-за взлома роутера оказались под угрозой миллиарды сообщений, передаваемых телекоммуникационными операторами по всему миру.
В-четвёртых, доступ к внутренним системам SMS-провайдеров может быть использован для отслеживания физического передвижения людей, как это уже происходило с Mitto — компанией, чьи сервисы, как выяснилось, применялись в системах скрытого мониторинга.
В-пятых, при наличии доступа к SMS-каналам возможно проведение атак на сотрудников компаний через MFA-коды. Это даёт возможность получить контроль над корпоративной почтой, облачными средами и CI/CD-инфраструктурой. Эксперты вспоминают взлом сервиса Authy, где в 2024 году из-за уязвимости были скомпрометированы данные о 33 млн номеров.
Среди последствий — не только технические, но и репутационные удары. При утечке может возникнуть лавинообразный рост затрат на экстренные оповещения, а также риски штрафов за нарушения требований GDPR, CCPA или ФЗ-152. Всё это влечёт за собой потерю доверия к SMS как каналу массовых уведомлений и авторизации.
