Link di autenticazione tramite SMS vulnerabili: milioni gli utenti a rischio

Il panorama della sicurezza digitale continua a essere scosso da rivelazioni che mettono in discussione la fiducia riposta in pratiche considerate standard fino a ieri.

Un recente studio pubblicato su arXiv getta una luce impietosa su uno dei pilastri dell’autenticazione a due fattori: l’uso degli SMS per la verifica dell’identità.

I numeri sono sconcertanti: oltre 322 milioni di URL coinvolti, 701 endpoint compromessi e milioni di utenti potenzialmente esposti a rischi che vanno ben oltre la semplice perdita di dati. Dietro questa massa di cifre si nasconde una realtà fatta di superficialità progettuale, scarsa attenzione alla protezione dei dati personali e un sistema che, invece di arginare le minacce, finisce per amplificarle.

Il cuore del problema è rappresentato dalla gestione dei link autenticazione inviati tramite SMS. Questa pratica, diffusissima tra i servizi online, dovrebbe garantire un livello di sicurezza aggiuntivo. In realtà, la ricerca evidenzia come la maggior parte delle implementazioni soffra di vulnerabilità gravi, spesso dovute all’utilizzo di token prevedibili e facilmente enumerabili.

In pratica, basta incrementare di poco il parametro presente nell’URL per accedere agli account di altri utenti. Un attacco di brute force diventa così non solo possibile, ma addirittura banale: l’aggressore può automatizzare il processo e tentare centinaia di combinazioni senza incontrare ostacoli significativi, vista la totale assenza di limitazioni sui tentativi e la scarsa attenzione al rate limiting.

L’autenticazione via SMS è più pericolosa di quanto si possa pensare

Ma il problema non si esaurisce qui. Gli SMS, per loro natura, vengono trasmessi in chiaro e possono essere facilmente intercettati durante il tragitto.

Questo significa che ogni messaggio contenente un link autenticazione rappresenta una potenziale minaccia, soprattutto se finisce – come spesso accade – in database pubblici o viene raccolto da bot e scraper automatizzati. La combinazione di token deboli e trasmissione non cifrata crea un ambiente ideale per i cybercriminali, che possono così mettere le mani su informazioni estremamente sensibili come dati bancari, numeri delle carte credito e altri dati personali di valore inestimabile.

La situazione è ulteriormente aggravata dal fatto che molti servizi online non prevedono la scadenza rapida dei token o la loro invalidazione automatica in caso di utilizzo sospetto. In alcuni casi, i link autenticazione restano validi per ore, se non addirittura giorni, lasciando ampio margine di manovra agli attaccanti. Il risultato è un disastro silenzioso che mette a repentaglio la privacy e la sicurezza di milioni di utenti, spesso ignari della fragilità dei sistemi su cui fanno affidamento.

L’opinione degli esperti

Gli esperti di sicurezza sono unanimi nell’indicare la strada da seguire per arginare il fenomeno: è necessario adottare token criptograficamente robusti, difficili da prevedere e validi per un solo utilizzo (OTP).

I link autenticazione dovrebbero avere una scadenza di pochi minuti e ogni tentativo sospetto dovrebbe essere immediatamente bloccato attraverso meccanismi di rate limiting e monitoraggio contestuale. Soprattutto, è fondamentale abbandonare progressivamente gli SMS come vettore di autenticazione, preferendo soluzioni più sicure come le app di autenticazione o i magic link inviati via email.

Dal punto di vista operativo, i servizi online devono investire in sistemi di monitoraggio avanzati, capaci di rilevare comportamenti anomali e invalidare automaticamente i token sospetti. Solo così sarà possibile ridurre in modo significativo il rischio di attacchi e tutelare realmente i dati personali degli utenti. Nel frattempo, a chi utilizza questi servizi non resta che mantenere alta la vigilanza: controllare regolarmente le impostazioni di sicurezza, evitare di condividere informazioni sensibili e, nei casi più gravi, richiedere la rimozione dei propri dati da piattaforme che non garantiscono adeguati standard di protezione.