Milioni ljudi se prijavljuju na naloge putem SMS linka: To može da vas stavi u nezgodnu situaciju

Prijavljivanje bez lozinke putem SMS poruke djeluje praktično i bezbjedno, ali nova analiza otkriva ozbiljnu pukotinu u tom modelu. Istraživači su otkrili da kod velikog broja servisa samo posjedovanje linka iz SMS-a funkcioniše kao dokaz identiteta, bez dodatne provjere. U praksi, to znači da svako ko dođe do tog linka može da pristupi privatnim podacima korisnika. Ne zbog hakovanja naloga, već zbog načina na koji je sistem osmišljen.

Izvor:

Telegraf

| 01-02-2026 21:21:14

[echo_view_count]

Analiza je obuhvatila više od 322.000 jedinstvenih URL-ova iz preko 33 miliona SMS poruka, povezanih sa desetinama hiljada brojeva telefona i najmanje 177 digitalnih servisa.

Praktično rješenje koje nosi skriveni rizik

SMS prijave postale su popularne jer uklanjaju potrebu za lozinkama i bazama podataka koje često bivaju kompromitovane. Međutim, SMS je nešifrovan kanal, što znači da poruke mogu biti presretnute, sačuvane ili zloupotrijebljene dugo nakon što su poslate.

Najveći problem nije sama poruka, već pretpostavka da je posjedovanje linka dovoljno za potvrdu identiteta. U velikom broju slučajeva, klik na link otvara pristup osjetljivim informacijama, uključujući datum rođenja, finansijske podatke i kreditne zapise, bez ikakve dodatne autentifikacije.

Istraživači su takođe primijetili da su mnogi servisi koristili tokene sa slabom entropijom, što je u teoriji omogućavalo pogađanje validnih linkova prostim mijenjanjem karaktera u URL-u. Dodatni problem je što su neki linkovi ostajali aktivni mjesecima, pa čak i godinama.

Zašto korisnici teško mogu da se zaštite

Za razliku od klasičnih napada, ovdje ne pomažu antivirusni alati, uklanjanje malvera ili lični firewall. Ako sistem na serverskoj strani prihvata link kao dokaz identiteta, korisnik nema mnogo prostora za odbranu.

Posebno zabrinjava podatak da je samo mali broj kompanija reagovao nakon što su obaviještene o problemu. Od oko 150 kontaktiranih servisa, tek njih 18 je priznalo ranjivosti, a još manji broj je sproveo konkretne promjene.

Tamo gdje su korekcije uvedene, izloženost je smanjena za desetine miliona korisnika. Većina servisa, međutim, nije dala nikakav javni komentar.

Ovaj slučaj otvara šire pitanje bezbjednosti identiteta u digitalnom svijetu. Ne radi se o krađi naloga u klasičnom smislu, već o dizajnerskim odlukama koje korisnicima ostaju nevidljive, dok rizik postoji u pozadini.

SMS prijava ostaje zgodna, ali ova analiza pokazuje da pogodnost često dolazi uz cijenu koju korisnici ne mogu sami da procijene, niti da je lako izbjegnu.