Det var en chock i augusti när Twitters vd Jack Dorseys Twitterkonto började skicka ut rasistiska tweets. Han hade förstås blivit hackad, men den kanske största chocken av alla var hur lätt det var – @jack blev offer för ett enkelt SIM-kortsbyte.
SIM-"hacking" är inte nytt - det är i grunden mobiltelefonkapning - men det har blivit mycket viktigare på senare tid, av en mängd olika anledningar. Den största:Våra smartphones har blivit våra nya lösenord, så brottslingar som kan kontrollera prylarna kan kontrollera våra digitala liv.
Vi har ägnat år (med rätta) åt att driva konsumenter mot tvåfaktorsautentisering, men som så ofta händer i säkerhetsvärlden har vi bytt ut ett problem mot ett annat. Vi är alla överens om att personnummer gör hemska lösenord, så vi har bytt till telefonnummer nu. Och nedfallet har bara börjat.
Alla som någonsin har uppgraderat sin mobiltelefon hemma vet vad ett SIM-kortsbyte är. Du säger åt din mobilleverantör att skicka dina samtal och sms till din nya telefon, vilket gör den gamla värdelös. Detta kan innebära ett bokstavligt byte av ett SIM-kort (subscriber identification module). Idag sker det ofta via mjukvara och uppdateringar via luften. Lätt nog.
Problemet uppstår när en brottsling övertygar en mobilleverantör att "uppgradera" din telefon till en telefon som brottslingen kontrollerar. Det betyder att brottslingen nu kan avlyssna alla samtal och textmeddelanden som skickas till dig. Stort problem. Om din bank vill autentisera dig med en sexsiffrig kod vid inloggning, ja, det finns den säkerhetsmetoden. Och om du är VD för Twitter, kan ett SIM-kortsbyteshack ge brottslingar en chans att skämma ut dig offentligt.
Det borde också få dig att tänka:Skulle inte Twitter Jack ha ganska snäva kontroller på sitt konto? Men fortfarande kriminella kunde komma åt det? Kan du tänka dig någon annan med ett högprofilerat konto som skulle vara ett saftigt mål för hackare?
Du är också ett saftigt mål. Jag har skrivit mycket om stöld från Zelle och andra P2P-betalkonton nyligen. Vissa offer har ingen aning om hur det hände, vilket får mig att föreställa mig att i vissa fall kan byte av SIM-kort vara på gång. Egentligen kan alla konton som förlitar sig på ett SMS-textmeddelande för inloggning vara ett mål.
Om du är en smartphoneägare bör detta göra dig personligen nervös. Tänk på allt som kriminella kunde göra om de kunde komma åt dina textmeddelanden.
Mobilleverantörer försöker lösa detta problem, men de är långt ifrån att ha en bra lösning. Under tiden måste du agera för att skydda dig själv. Jag är verkligen glad att Liz Weston skrev om detta nyligen för Associated Press och NerdWallet. Du borde läsa hennes berättelse i Washington Post, som innehåller några tankar från mig.
Men här är min nödvändiga information för dig:
Mer från Bob Sullivan:
Vad tycker du om den här nyheten? Ljud av i en kommentar nedan eller på Money Talks News Facebook-sida.