Взломать аккаунт в Facebook можно, зная лишь телефонный номер владельца

В эксперименте по взлому аккаунта Facebook в компании Positive Technologies, изучающей проблемы IT-безопасности, была использована уязвимость в протоколе телефонной связи SS7 (англ. Common Channel Signaling). Брешь в системе позволила перенаправить SMS-сообщение, отправленное пользователю для восстановления якобы утраченного пароля, на нужный номер мобильного телефона. Оставалось лишь сбросить пароль пользователя и задать свой собственный.
Как считают в компании, этот метод хакеры могут использовать для взлома аккаунта любого сервиса, где есть такой метод сброса пароля.
Впервые об уязвимости в протоколе SS7 рассказал немецкий эксперт в апреле нынешнего года Карстен Нол, руководитель компании Lookout. Тогда в прямом эфире американского телеканала CBS он получил доступ к телефону американского конгрессмена Тед Льюи.
Протокол SS7 используется для организации сетевого взаимодействия и технического обслуживания телефонной сети. Он применяется для обмена пользовательской информацией, маршрутизации звонков, взаимодействия с биллингом и поддержки интеллектуальных услуг.