双因素认证码通过不安全途径送达用户——彭博社

插图：Simon Landrein为《彭博商业周刊》绘制每天，人们通过密码和短信接收的一次性登录码登录邮箱、银行应用或社交媒体账户。这些验证码常附有警告：“切勿向他人透露”。但收件人无从知晓这条信息在抵达前被谁窥见过。

企业生成这类双重认证码时，几乎从不直接发送。它们将任务外包给层层中间商，验证码需穿越复杂的传输网络才能到达用户手中。由于短信采用的SMS技术标准已有数十年历史，经手这些信息的机构完全可能查看其内容。但系统的复杂性意味着，无论是发送方还是接收方，都无法确切知道验证码在传输过程中经历了哪些环节。

彭博商业周刊全球食品巨头在甲烷减排承诺上集体失速康泰纳仕集团早该倒塌的纸牌屋，被这个男人强撑了太久造浪池会让冲浪运动变成下一个高尔夫吗？大企业正在抛弃气候承诺有行业举报人向《彭博商业周刊》和调查新闻机构Lighthouse Reports提供了2023年6月约100万条双重认证短信的非公开传输数据。每条信息都经过名为Fink电信服务的瑞士神秘公司之手。该公司及其创始人曾与政府间谍机构及监控承包商合作，实施手机监听和用户定位。网络安全研究员和调查记者多次披露Fink涉嫌入侵私人账户的证据。

数据包含自动生成的登录验证码短信，以及这些信息传递至最终目的地的路径。发送方包括谷歌、Meta、亚马逊、多家欧洲银行、Tinder和Snapchat等热门应用、加密货币交易所币安，以及加密通讯平台Signal和WhatsApp。目标收件人遍布五大洲100多个国家。

数据提供者要求匿名以避免报复。商业周刊通过独立专家核验记录，并与其他公开数据进行交叉比对以确认其真实性。

鉴于这些涉嫌与安全漏洞的关联，隐私专家帕特·沃尔什表示：“芬克公司持续获取此类短信的数据，正是企业不应通过短信发送账户验证码的惊人例证。科技公司对其供应链的尽职调查严重不足。”

芬克电信首席执行官安德烈亚斯·芬克在邮件中回应称，法律限制使其无法查看处理信息的内容：“本公司仅提供信令与路由等基础设施技术服务，不会分析或干预客户及其下游合作伙伴传输的流量。“他同时声明公司已停止监控业务。

像芬克公司这样的中介机构通过构建技术与大量电信运营商谈判，提供了更高效、更经济的短信传递方式。据市场研究公司Mobilesquared创始人尼克·莱恩称，2024年该行业价值已超过300亿美元。行业领军企业（部分为上市公司）与规模较小、知名度较低的运营商竞争，有时也会将业务分包给这些小型供应商——后者在向特定国家发送短信时可能提供更低费率，或可能继续分包给其他层级公司。

这个复杂行业能为企业节省短信发送的时间和成本。但部分安全专家认为，这种结构固有的权衡机制存在安全隐患，因为信息若落入不法分子手中，可能被用于入侵个人邮箱或私密通讯。

Telecom Defense Ltd首席安全顾问让·戈特沙尔克指出，监管缺失加剧了风险：“目前没有任何限制措施，开展这项业务无需许可证。一家公司很快就能处理数十亿条信息。”

作为前思科系统公司现场工程师，芬克于2016年创立该公司。尽管规模不足10人，但已成功与多家对技术监控感兴趣的政府承包商达成合作。

芬克表示无法确认或否认双重认证码是否经其网络传输。当《商业周刊》出示审查数据样本时，他以"可能通过不当手段甚至篡改获得"为由拒绝验证。

芬克电信业务的关键部分是与国际移动运营商签订的合同，使用所谓的全球标题。这些全球标题充当电信公司之间的电话号码，允许持有者向其他国家的移动网络发送消息。除了将全球标题用于自身运营外，电信公司还可以通过将其出租给像芬克这样的公司来获得额外收入。

根据《商业周刊》审查的数据，芬克电信拥有或租用了来自瑞士、英国、纳米比亚和俄罗斯车臣等地的电信公司的全球标题。芬克拒绝就其公司租用的全球标题发表评论，但他将这种做法描述为“传统且被接受的行业模式”的一部分。

这可能有些牵强。电信行业组织GSMA在2023年发布了一项行为准则，称全球标题租赁“应避免，首先应探索其他满足合法业务需求的选项”。但该准则是自愿性的，全球标题租赁交易在世界许多地区仍然存在。4月，英国监管机构禁止英国电信公司租赁全球标题，警告称这种做法被滥用，可能使犯罪分子能够拦截安全代码。

安全专家将芬克与通过拦截短信发送的安全代码入侵账户的事件联系起来。2020年初，当时经营位于特拉维夫的网络安全公司Pandora Security的扎克·加诺特调查了一系列针对加密货币投资者的攻击，其中一名黑客获取了认证代码，访问了约20名以色列人的电子邮件和加密货币账户。加诺特与一家以色列电信运营商合作调查此次入侵，最终得出结论，注册给芬克创立的另一家公司SMSRelay的全球标题操纵了以色列的电信流量，以获取投资者的登录代码。加诺特将其调查结果报告给瑞士当局，但表示未收到任何后续回应。

芬克否认与这些入侵事件有关，称SMSRelay已于2016年停止运营并拆除了基础设施。根据《商业周刊》查阅的数据，注册在SMSRelay名下的全球号码直到2023年仍处于活跃状态，但芬克表示这些号码的任何滥用行为"并非源自我们”。

在2023年的另一起事件中，以色列报纸《国土报》对雇佣黑客组织"豪尔赫团队"展开调查，该组织向政府提供秘密操纵社交媒体、拦截电子邮件、Telegram消息和其他在线通信的服务。该报报道称，芬克电信帮助豪尔赫团队接入手机网络以监控手机用户。芬克表示自己与豪尔赫团队没有关联，解释称与其合作的一家公司"间接向该组织提供了服务”。他称随后已与该公司断绝了关系。

芬克的解释凸显了该行业的另一个漏洞：层层转包使得短信传输的整个过程变得不透明。芬克主要是分包商，与生成原始短信的公司没有直接关系，这使得这些公司即使决定因感到不安而停止合作，也没有直接途径终止与芬克的业务往来。

谷歌、Meta、Signal和币安在声明中表示未直接与芬克电信合作。谷歌发言人指出短信存在"诸多挑战与安全问题"，并表示公司正在逐步淘汰用短信验证账户的方式。Signal发言人强调公司提供防护措施应对短信漏洞，例如要求用户在新设备重新注册账户时，除短信验证码外还需输入PIN码。Meta平台公司发言人表示已提醒合作伙伴履行合同义务，确保向Meta用户发送短信时的隐私与安全，并告知合作伙伴在为Meta或其关联公司提供服务时不得分包或与芬克电信合作。

亚马逊、Snapchat和Tinder未回应置评请求。

短信通信固有的安全隐患已有充分记录，部分公司正推动用户转向替代方案。电子前沿基金会网络安全总监Eva Galperin建议人们使用其他账户验证方式，例如生物识别验证或专用验证器应用——这类应用直接在用户手机软件内生成验证码，而非通过不安全的通信网络发送。今年二月，谷歌宣布Gmail将停止使用短信验证进行安全和反垃圾邮件验证，改为要求用户登录时扫描二维码。

芬克也承认这一安全隐患。他表示此类漏洞的责任在于生成双重验证码后，却依赖短信等不安全传输技术发送给用户的机构。“如果企业选择通过不安全的短信发送敏感信息，“他写道，“这是已知风险。”