## Крупный российский банк: как 4 цифры в SMS и отсутствие лимитов обнулили защиту 2FA
Двухфакторная аутентификация (2FA) в одном из крупных российских банков оказалась иллюзией безопасности. В ходе реального пентеста выяснилось, что доступ к паспортным данным, документам и финансовым заявкам клиентов можно получить, обойдя защиту с помощью всего четырёх цифр из SMS-кода. Уязвимость открыла не сложный zero-day эксплоит, а банальная, но критическая ошибка в проектировании системы.

Атака стала возможной из-за фатального сочетания двух факторов: использования коротких SMS-кодов и полного отсутствия лимитов на их ввод. Это позволило злоумышленникам относительно просто подобрать код методом перебора (brute-force). В результате скомпрометированным оказался не просто аккаунт, а доступ к высокочувствительной информации, включая персональные данные и финансовые операции.

Кейс демонстрирует системный просчёт, когда формальное наличие 2FA создаёт ложное чувство защищённости, в то время как фундаментальные принципы безопасности игнорируются. Проблема, по данным источника, до сих пор встречается в дикой природе. Её решение лежит не в сложных патчах, а в корректном проектировании на этапе разработки — внедрении строгих лимитов на попытки ввода, использовании более длинных и криптографически стойких кодов, а также сегментации доступа к разным типам данных.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: кибербезопасность, 2FA, пентест, уязвимость, финансовый сектор
- **Credibility**: unverified
- **Published**: 2026-03-26 07:57:27
- **ID**: 34910
- **URL**: https://whisperx.ai/en/intel/34910