神秘厂商可以获得谷歌、脸书、币安等知名服务的短信验证码

前情回顾·国家监控新能力

• 隐蔽的监控！美国政府利用苹果/安卓手机推送通知追踪目标

• 美国再曝新监控计划：白宫拨款 警方使用，可访问数万亿条电话记录

• 这家美国科技公司秘密监控全球半数移动用户

• 揭秘！美军秘密采购大规模监控工具，可窥探任意公民网络数据

安全内参6月17日消息，每天数以百万计的用户在登录邮箱、银行应用或社交媒体账号时，都会使用密码，外加一条通过短信收到的一次性登录验证码。这些验证码通常会附带警告：“请勿与任何人分享。”然而，接收这些提示的用户却并不知道，在验证码抵达他们手中之前，是否已经被他人查看过。

企业在生成用于双因素认证的短信验证码时，通常不会直接发送这些短信，而是将发送任务外包出去。验证码在抵达用户手中之前，往往要经由多个中间商的转发。由于短信所采用的技术标准已有数十年历史，其固有的技术漏洞使得在处理这些信息的过程中，某些机构有可能查看其内容。而由于这一系统极度复杂，导致无论发送方还是接收方，都难以明确了解验证码传输的路径以及具体有谁经手。

情报供应商Fink Telecom被举报可监控大量知名服务短信验证码

一位业内举报者向《彭博商业周刊》提供了一批未公开的电话网络数据，内容涉及2023年6月期间约100万条含有双因素验证码的短信。这些短信全部经过了一家名为Fink Telecom Services的不知名瑞士公司。该公司及其创始人曾与政府情报机构和监控技术承包商合作，参与监控手机和追踪用户位置。网络安全研究人员与调查记者发布的多份报告曾指控Fink参与了多个私人在线账号被入侵事件。

这些数据中包含了自动生成的登录验证码以及它们在传输至最终接收者过程中所经过的路径。发送方包括谷歌、Meta、亚马逊、多家欧洲银行、Tinder、Snapchat等热门应用，以及加密货币交易平台Binance和加密通信平台Signal、WhatsApp。收件人遍布五大洲100多个国家。

为避免报复，数据提供者要求匿名。《彭博商业周刊》通过与独立专家的核查，并将部分信息与公开数据交叉验证，确认了这些记录的真实性。

隐私专家Pat Walshe表示，考虑到Fink Telecom涉嫌涉及安全漏洞，这些数据显示其仍能访问敏感信息。他说：“这是一个令人震惊的案例，表明企业不应通过短信发送账号认证或登录验证码。科技公司对自身供应链的尽职调查远远不够。”

Fink Telecom的首席执行官Andreas Fink在与《彭博商业周刊》的邮件交流中表示，法律禁止公司查看所处理短信的内容。他写道：“我们提供的是基础设施和技术服务，包括信令和路由功能。我们不会分析或干预客户或其下游合作伙伴传输的流量。”他还表示，公司目前已不再从事监控相关业务。

电信行业普遍存在业务分包，相关情况屡禁不止

像Fink Telecom这样的中间商通过开发技术，并与大量电信运营商协商合作，提供更高效、成本更低的短信发送服务。市场研究公司Mobilesquared的创始人Nick Lane表示，该行业到2024年的市值已超过300亿美元。行业内既有上市公司，也有名不见经传的小企业。这些大公司有时会将业务转包给规模较小、报价更低的公司，后者又可能进一步分包给其他公司。这种情况在发送跨境信息时尤其常见。

这一复杂的行业架构能帮助发送方节省时间与成本，但部分安全专家指出，这种结构存在极大的风险。一旦信息落入不法之手，便可能被用来侵入邮箱或窃取私人数据。

Telecom Defense公司首席安全顾问Jean Gottschalk指出，监管的缺失进一步放大了这些风险。他表示：“任何人都可以从事这项业务，没有任何许可证要求。一家公司很快就能处理数十亿条信息。”

Andreas Fink曾是思科系统的现场工程师，并于2016年创立了自己的公司。尽管公司规模不大、员工人数不足10人，却成功与一些关注技术监控的政府承包商建立了合作关系。

Andreas Fink表示，他无法确认或否认这些双因素验证码是否通过其网络传输。在《彭博商业周刊》展示部分数据样本后，他拒绝确认其真实性，称这些数据“可能是非法获取的，甚至可能被篡改。”

Fink Telecom的一项核心业务是与国际移动运营商签订合同，获取被称为GT号码（Global Titles）的资源。GT号码类似于电信间互联的电话号码，允许持有方将短信发送至其他国家的移动网络。除自用外，电信公司还可通过租赁GT号码给像Fink这样的公司来增加收入。

经过数据审查，《彭博商业周刊》发现，Fink Telecom拥有或租用了来自瑞士、英国、纳米比亚和俄罗斯车臣地区电信公司的GT号码。Fink拒绝对其公司租赁GT号码的情况置评，但声称这是“行业内普遍接受且惯常的做法”。

不过，这一说法并不一定站得住脚。电信行业组织GSMA在2023年发布的行为准则中指出，应尽量避免租赁GT号码，建议优先考虑其他能满足合法业务需求的方式。尽管该准则为自愿执行，GT号码的租赁仍在全球多个地区普遍存在。英国监管机构于今年4月发布禁令，禁止本国电信公司出租GT号码，警告称这种行为已被滥用，可能助长拦截验证码等犯罪行为。

Fink Telecom被指与多起账号入侵事件有关

安全专家将Fink Telecom与多起通过短信拦截验证码、进而入侵用户账号的事件联系在一起。

自2020年起，时任以色列网络安全公司Pandora Security负责人Zack Ganot便着手调查一系列针对加密货币投资者的攻击事件。黑客通过获取验证码，入侵了约20名以色列用户的邮箱与加密货币账户。Ganot与一家以色列电信公司合作，最终追踪到一家名为SMS Relay的公司注册的GT号码操控了以色列的通信流量，进而获取了这些验证码。SMS Relay是Andreas Fink创立的另一家公司。Ganot将调查结果上报瑞士当局，但表示未收到任何回复。

Andreas Fink否认参与这些攻击，称SMS Relay早在2016年已停止运营并拆除其基础设施。然而，《彭博商业周刊》审查的数据表明，该公司注册的GT号码直到2023年仍在使用。Andreas Fink回应称，这些号码若被滥用，“并非我们所为”。

在另一宗发生于2023年的案件中，以色列媒体《国土报》调查了一个名为Team Jorge的黑客组织，该团伙为各国政府提供社交媒体操控、邮件拦截、Telegram窃听等服务。报道指出，Fink Telecom协助该组织接入手机网络以实现监控。对此，Andreas Fink否认与Team Jorge有任何关联，表示是他的一家合作公司“间接地向该组织提供了服务”，而他随后已终止了与该公司的合作。

多重分包使得客户难以溯源所有供应商，难以真正禁止恶意方

Andreas Fink的回应暴露了该行业另一个关键漏洞：多重转包使信息传输路径变得极为不透明。Fink Telecom本质上是分包商，与最初生成验证码的企业并无直接联系。这意味着即便这些企业希望终止与Fink Telecom的合作，也面临巨大障碍。

谷歌、Meta、Signal与Binance均在声明中表示未与Fink Telecom有直接合作。谷歌发言人指出，短信存在“多种挑战与安全问题”，公司正逐步减少其在账号验证中的使用。Signal发言人表示，平台采用了额外保护措施，例如重新注册时，除了短信验证码外，还要求输入PIN码。Meta发言人则表示，公司已明确要求合作方在向Meta用户发送短信时，必须履行隐私与安全义务，并已通知合作伙伴不得转包或与Fink Telecom合作提供服务。

亚马逊、Snapchat和Tinder未回应置评请求。

短信传输机制本身的安全隐患早已广为人知，一些公司正推动用户转向更安全的替代方式。电子前沿基金会（EFF）网络安全总监Eva Galperin鼓励用户采用其他认证方式，例如使用生物识别或专用认证器应用。这类应用会在用户手机本地生成验证码，无需通过存在风险的电话网络传输。2024年2月，谷歌宣布Gmail将不再使用短信进行身份验证或反垃圾邮件认证，而是要求用户通过扫描二维码完成登录。

Andreas Fink也承认短信存在安全问题。他表示，这种风险应由生成双因素验证码并选择通过不安全渠道（如短信）传输的机构承担。他写道：“如果公司选择通过不安全的短信传输敏感信息，这属于明知存在风险却仍然为之。”

参考资料：https://www.bloomberg.com/news/articles/2025-06-16/two-factor-authentication-codes-take-insecure-path-to-users

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。