W 2025 roku bezpieczeństwo dwuskładnikowego uwierzytelniania (2FA) przesyłanego za pomocą wiadomości SMS zostało poważnie podważone przez ogromny wyciek danych. Raport opublikowany przez serwis Bloomberg ujawnił, że około miliona kodów weryfikacyjnych 2FA wysyłanych w formie SMS-ów mogło zostać przechwyconych przez podmioty powiązane z agencjami wywiadowczymi. Ta sytuacja dotyczy użytkowników z ponad 100 krajów, w tym Polski, co stawia pod znakiem zapytania bezpieczeństwo tradycyjnego sposobu ochrony kont internetowych.
Jak działa 2FA i dlaczego SMS jest ryzykowny?
Dwuskładnikowe uwierzytelnianie to mechanizm mający na celu podniesienie poziomu bezpieczeństwa kont internetowych. Po wpisaniu hasła, użytkownik musi potwierdzić swoją tożsamość dodatkowym kodem, który zwykle jest generowany przez aplikację (np. Google Authenticator) lub wysyłany jako SMS na telefon komórkowy.
Jak tłumaczy prof. dr hab. Tomasz Wójcik, ekspert ds. cyberbezpieczeństwa z Politechniki Warszawskiej, „2FA znacząco utrudnia dostęp do konta osobom nieupoważnionym, jednak przesyłanie kodów przez SMS jest podatne na ataki, ponieważ wiadomości tekstowe nie są szyfrowane ani chronione przed podsłuchem”.
SMS-owy kanał komunikacji działa na zasadzie otwartego protokołu GSM, co oznacza, że sygnał może zostać przechwycony lub przekierowany przez osoby trzecie za pomocą technik takich jak SIM swapping czy przechwytywanie sygnału (SS7 attack).
Skala i źródło wycieku
Informacje o wycieku pochodzą z czerwca 2023 roku, kiedy to około miliona kodów 2FA przesłanych w SMS-ach zostało przechwyconych przez firmę Fink Telecom Services, mającą siedzibę w Szwajcarii. Ta spółka działała jako operator pośredniczący w routingu wiadomości i według doniesień współpracowała z agencjami rządowymi zajmującymi się cyfrowym nadzorem.
Dyrektor finansowy Fink Telecom zaprzeczał, że firma zajmuje się aktywnym nadzorem, deklarując, iż pełni jedynie funkcję operatora routingu. Jednak niezależni eksperci ds. bezpieczeństwa powiązali ją z przypadkami włamań na konta, które wykorzystały przechwycone kody 2FA.
Wśród firm, które korzystały z usług Fink Telecom, znalazły się takie giganci jak Google, Meta, Amazon, a także europejskie banki, platformy randkowe Tinder i Snapchat, giełda kryptowalut Binance oraz aplikacje do szyfrowanej komunikacji jak Signal i WhatsApp. Zasięg ataku obejmował ponad 100 krajów na pięciu kontynentach.
Konsekwencje dla użytkowników i firm
Ten wyciek dowodzi, że stosowanie kodów 2FA wysyłanych SMS-em nie gwarantuje już pełnej ochrony kont internetowych. Osoba, która przejmie zarówno login i hasło, jak i kod SMS, może bez przeszkód dostać się do konta ofiary, co stwarza realne zagrożenie utraty danych osobowych, finansowych, a nawet kont firmowych.
Według raportu Cybersecurity Ventures 2025, aż 43% incydentów wycieków danych w roku 2024 było powiązanych z wykorzystaniem słabo zabezpieczonych metod uwierzytelniania. Koszty związane z takimi wyciekami sięgają średnio 4,5 miliona dolarów na incydent dla dużych przedsiębiorstw, co potwierdza powagę sytuacji.
Ekspertka ds. bezpieczeństwa cyfrowego, dr Ewa Nowak z Fundacji Bezpieczny Internet, komentuje: „Ten incydent to sygnał alarmowy, że musimy porzucić archaiczne i podatne na ataki metody uwierzytelniania, takie jak SMS, i przejść na bezpieczniejsze rozwiązania, np. klucze sprzętowe czy aplikacje generujące kody.”
Bezpieczne alternatywy 2FA
W świetle tych wydarzeń rośnie popularność rozwiązań alternatywnych do SMS, które oferują większe bezpieczeństwo. Najbardziej rekomendowane metody to:
- Aplikacje generujące kody (TOTP), takie jak Google Authenticator, Authy czy Microsoft Authenticator. Kody generowane są lokalnie na urządzeniu i nie przesyłane przez sieć, co znacznie zmniejsza ryzyko przechwycenia.
- Klucze sprzętowe (hardware tokens), np. YubiKey lub Google Titan, które działają na zasadzie fizycznego urządzenia uwierzytelniającego. Są odporne na phishing i przechwycenie, stanowiąc złoty standard bezpieczeństwa.
- Biometryka – coraz częściej weryfikacja tożsamości odbywa się za pomocą odcisku palca lub rozpoznawania twarzy, co jest wygodne i trudne do podszycia się.
Rekomendacje dla użytkowników
Zaleca się, aby wszyscy użytkownicy posiadający konta w serwisach oferujących 2FA, jak Google, banki czy giełdy kryptowalut, zweryfikowali metodę zabezpieczeń i tam, gdzie to możliwe, zrezygnowali z kodów SMS na rzecz bezpieczniejszych opcji.
Instytut CERT Polska w swoim raporcie z maja 2025 roku podkreśla, że „świadomość użytkowników dotycząca zagrożeń związanych z 2FA SMS jest kluczowa dla ograniczenia ryzyka wycieku danych i przejęcia kont”.