Крупный российский банк: как 4 цифры в SMS и отсутствие лимитов обнулили защиту 2FA

Двухфакторная аутентификация (2FA) в одном из крупных российских банков оказалась иллюзией безопасности. В ходе реального пентеста выяснилось, что доступ к паспортным данным, документам и финансовым заявкам клиентов можно получить, обойдя защиту с помощью всего четырёх цифр из SMS-кода. Уязвимость открыла не сложный zero-day эксплоит, а банальная, но критическая ошибка в проектировании системы.

Атака стала возможной из-за фатального сочетания двух факторов: использования коротких SMS-кодов и полного отсутствия лимитов на их ввод. Это позволило злоумышленникам относительно просто подобрать код методом перебора (brute-force). В результате скомпрометированным оказался не просто аккаунт, а доступ к высокочувствительной информации, включая персональные данные и финансовые операции.

Кейс демонстрирует системный просчёт, когда формальное наличие 2FA создаёт ложное чувство защищённости, в то время как фундаментальные принципы безопасности игнорируются. Проблема, по данным источника, до сих пор встречается в дикой природе. Её решение лежит не в сложных патчах, а в корректном проектировании на этапе разработки — внедрении строгих лимитов на попытки ввода, использовании более длинных и криптографически стойких кодов, а также сегментации доступа к разным типам данных.