雙因素認證碼通過不安全途徑送達用户——彭博社

插圖：Simon Landrein為《彭博商業週刊》繪製每天，人們通過密碼和短信接收的一次性登錄碼登錄郵箱、銀行應用或社交媒體賬户。這些驗證碼常附有警告：“切勿向他人透露”。但收件人無從知曉這條信息在抵達前被誰窺見過。

企業生成這類雙重認證碼時，幾乎從不直接發送。它們將任務外包給層層中間商，驗證碼需穿越複雜的傳輸網絡才能到達用户手中。由於短信採用的SMS技術標準已有數十年曆史，經手這些信息的機構完全可能查看其內容。但系統的複雜性意味着，無論是發送方還是接收方，都無法確切知道驗證碼在傳輸過程中經歷了哪些環節。

彭博商業週刊全球食品巨頭在甲烷減排承諾上集體失速康泰納仕集團早該倒塌的紙牌屋，被這個男人強撐了太久造浪池會讓衝浪運動變成下一個高爾夫嗎？大企業正在拋棄氣候承諾有行業舉報人向《彭博商業週刊》和調查新聞機構Lighthouse Reports提供了2023年6月約100萬條雙重認證短信的非公開傳輸數據。每條信息都經過名為Fink電信服務的瑞士神秘公司之手。該公司及其創始人曾與政府間諜機構及監控承包商合作，實施手機監聽和用户定位。網絡安全研究員和調查記者多次披露Fink涉嫌入侵私人賬户的證據。

數據包含自動生成的登錄驗證碼短信，以及這些信息傳遞至最終目的地的路徑。發送方包括谷歌、Meta、亞馬遜、多家歐洲銀行、Tinder和Snapchat等熱門應用、加密貨幣交易所幣安，以及加密通訊平台Signal和WhatsApp。目標收件人遍佈五大洲100多個國家。

數據提供者要求匿名以避免報復。商業週刊通過獨立專家核驗記錄，並與其他公開數據進行交叉比對以確認其真實性。

鑑於這些涉嫌與安全漏洞的關聯，隱私專家帕特·沃爾什表示：“芬克公司持續獲取此類短信的數據，正是企業不應通過短信發送賬户驗證碼的驚人例證。科技公司對其供應鏈的盡職調查嚴重不足。”

芬克電信首席執行官安德烈亞斯·芬克在郵件中回應稱，法律限制使其無法查看處理信息的內容：“本公司僅提供信令與路由等基礎設施技術服務，不會分析或干預客户及其下游合作伙伴傳輸的流量。“他同時聲明公司已停止監控業務。

像芬克公司這樣的中介機構通過構建技術與大量電信運營商談判，提供了更高效、更經濟的短信傳遞方式。據市場研究公司Mobilesquared創始人尼克·萊恩稱，2024年該行業價值已超過300億美元。行業領軍企業（部分為上市公司）與規模較小、知名度較低的運營商競爭，有時也會將業務分包給這些小型供應商——後者在向特定國家發送短信時可能提供更低費率，或可能繼續分包給其他層級公司。

這個複雜行業能為企業節省短信發送的時間和成本。但部分安全專家認為，這種結構固有的權衡機制存在安全隱患，因為信息若落入不法分子手中，可能被用於入侵個人郵箱或私密通訊。

Telecom Defense Ltd首席安全顧問讓·戈特沙爾克指出，監管缺失加劇了風險：“目前沒有任何限制措施，開展這項業務無需許可證。一家公司很快就能處理數十億條信息。”

作為前思科系統公司現場工程師，芬克於2016年創立該公司。儘管規模不足10人，但已成功與多家對技術監控感興趣的政府承包商達成合作。

芬克表示無法確認或否認雙重認證碼是否經其網絡傳輸。當《商業週刊》出示審查數據樣本時，他以"可能通過不當手段甚至篡改獲得"為由拒絕驗證。

芬克電信業務的關鍵部分是與國際移動運營商簽訂的合同，使用所謂的全球標題。這些全球標題充當電信公司之間的電話號碼，允許持有者向其他國家的移動網絡發送消息。除了將全球標題用於自身運營外，電信公司還可以通過將其出租給像芬克這樣的公司來獲得額外收入。

根據《商業週刊》審查的數據，芬克電信擁有或租用了來自瑞士、英國、納米比亞和俄羅斯車臣等地的電信公司的全球標題。芬克拒絕就其公司租用的全球標題發表評論，但他將這種做法描述為“傳統且被接受的行業模式”的一部分。

這可能有些牽強。電信行業組織GSMA在2023年發佈了一項行為準則，稱全球標題租賃“應避免，首先應探索其他滿足合法業務需求的選項”。但該準則是自願性的，全球標題租賃交易在世界許多地區仍然存在。4月，英國監管機構禁止英國電信公司租賃全球標題，警告稱這種做法被濫用，可能使犯罪分子能夠攔截安全代碼。

安全專家將芬克與通過攔截短信發送的安全代碼入侵賬户的事件聯繫起來。2020年初，當時經營位於特拉維夫的網絡安全公司Pandora Security的扎克·加諾特調查了一系列針對加密貨幣投資者的攻擊，其中一名黑客獲取了認證代碼，訪問了約20名以色列人的電子郵件和加密貨幣賬户。加諾特與一家以色列電信運營商合作調查此次入侵，最終得出結論，註冊給芬克創立的另一家公司SMSRelay的全球標題操縱了以色列的電信流量，以獲取投資者的登錄代碼。加諾特將其調查結果報告給瑞士當局，但表示未收到任何後續回應。

芬克否認與這些入侵事件有關，稱SMSRelay已於2016年停止運營並拆除了基礎設施。根據《商業週刊》查閲的數據，註冊在SMSRelay名下的全球號碼直到2023年仍處於活躍狀態，但芬克表示這些號碼的任何濫用行為"並非源自我們”。

在2023年的另一起事件中，以色列報紙《國土報》對僱傭黑客組織"豪爾赫團隊"展開調查，該組織向政府提供秘密操縱社交媒體、攔截電子郵件、Telegram消息和其他在線通信的服務。該報報道稱，芬克電信幫助豪爾赫團隊接入手機網絡以監控手機用户。芬克表示自己與豪爾赫團隊沒有關聯，解釋稱與其合作的一家公司"間接向該組織提供了服務”。他稱隨後已與該公司斷絕了關係。

芬克的解釋凸顯了該行業的另一個漏洞：層層轉包使得短信傳輸的整個過程變得不透明。芬克主要是分包商，與生成原始短信的公司沒有直接關係，這使得這些公司即使決定因感到不安而停止合作，也沒有直接途徑終止與芬克的業務往來。

谷歌、Meta、Signal和幣安在聲明中表示未直接與芬克電信合作。谷歌發言人指出短信存在"諸多挑戰與安全問題"，並表示公司正在逐步淘汰用短信驗證賬户的方式。Signal發言人強調公司提供防護措施應對短信漏洞，例如要求用户在新設備重新註冊賬户時，除短信驗證碼外還需輸入PIN碼。Meta平台公司發言人表示已提醒合作伙伴履行合同義務，確保向Meta用户發送短信時的隱私與安全，並告知合作伙伴在為Meta或其關聯公司提供服務時不得分包或與芬克電信合作。

亞馬遜、Snapchat和Tinder未回應置評請求。

短信通信固有的安全隱患已有充分記錄，部分公司正推動用户轉向替代方案。電子前沿基金會網絡安全總監Eva Galperin建議人們使用其他賬户驗證方式，例如生物識別驗證或專用驗證器應用——這類應用直接在用户手機軟件內生成驗證碼，而非通過不安全的通信網絡發送。今年二月，谷歌宣佈Gmail將停止使用短信驗證進行安全和反垃圾郵件驗證，改為要求用户登錄時掃描二維碼。

芬克也承認這一安全隱患。他表示此類漏洞的責任在於生成雙重驗證碼後，卻依賴短信等不安全傳輸技術發送給用户的機構。“如果企業選擇通過不安全的短信發送敏感信息，“他寫道，“這是已知風險。”