Een helpdeskmedewerker van de Amerikaanse telco AT&T koppelde een onbekende die telefonieproblemen had aan een andere simkaart, zodat de eindgebruiker vooruit kon. Het ging alleen niet om de daadwerkelijke abonnee, maar om een aanvaller die nu de sms'jes van het tweefactorauthenticatiesysteem van PayPal van de daadwerkelijke abonnee kreeg.

De dief trok vervolgens geld van het gekoppelde PayPal-account, zo beschrijft het slachtoffer - een iOS-ontwikkelaar - in een uitgebreide blogpost waarin hij zijn ergernis uit over het incident. De crimineel kon met het telefoonnummer in het bezit een nieuw wachtwoord aanvragen voor de paypal-account en vervolgens de verificatie-sms invullen om toegang te krijgen tot de rekening.

Eén zwakke schakel

De aanvaller had meerdere pogingen gedaan om AT&T te overtuigen, maar werd steeds afgeketst omdat de persoon de vereiste toegangscode niet wist. Eén welwillend persoon die de procedure niet volgde was echter voldoende om langs deze eis te geraken. De ontwikkelaar blokkeerde de nieuwe simkaart, maar heeft moeite om zijn geld terug te krijgen.

Toevallig genoeg heeft The Verge net een uitgebreid artikel gepubliceerd over de beperkingen van 2FA, met name als het aankomt op sms-verificatie. Anderzijds vinden we dat we niet té paniekerig moeten doen: dat iets niet supersterk is, betekent niet dat het geen meerwaarde heeft.

Saturday Morning Breakfast Cereal maakte deze treffende strip jaren geleden al: