Mỗi ngày, hàng triệu người đăng nhập vào email, ứng dụng ngân hàng hoặc tài khoản mạng xã hội bằng cả mật khẩu và một mã xác thực đăng nhập gửi qua tin nhắn. Những mã này thường đi kèm cảnh báo: “Không chia sẻ mã này với bất kỳ ai.” Tuy nhiên, người nhận được cảnh báo đó lại không cách nào biết được có ai đã nhìn thấy mã trước khi nó đến tay họ không.
Khi các công ty tạo ra tin nhắn chứa mã xác thực hai lớp, họ gần như không bao giờ tự gửi trực tiếp. Thay vào đó, họ thuê ngoài công việc này, để mã được chuyển qua một mạng lưới trung gian phức tạp trước khi đến nơi. Do những điểm yếu cố hữu của định dạng SMS — tiêu chuẩn công nghệ tin nhắn văn bản đã tồn tại nhiều thập kỷ — các bên trung gian xử lý tin nhắn có thể nhìn thấy nội dung. Nhưng vì hệ thống quá phức tạp, cả người gửi lẫn người nhận đều không thể biết chính xác ai đã xử lý thông tin trên đường đi.
Một người tố giác trong ngành đã cung cấp cho Bloomberg Businessweek và phòng điều tra Lighthouse Reports dữ liệu mạng viễn thông chưa được công bố, liên quan đến khoảng 1 triệu tin nhắn chứa mã xác thực hai lớp được gửi trong tháng 6.2023. Mỗi tin nhắn đều qua tay công ty Thụy Sĩ ít tên tuổi Fink Telecom Services. Công ty này và người sáng lập từng làm việc với các cơ quan tình báo chính phủ và nhà thầu trong ngành giám sát, để theo dõi điện thoại di động và định vị người dùng. Các chuyên gia nghiên cứu an ninh mạng và phóng viên điều tra từng công bố nhiều báo cáo cáo buộc Fink dính líu đến các vụ xâm nhập tài khoản cá nhân trên mạng.
Dữ liệu này bao gồm tin nhắn chứa mã đăng nhập tạo tự động, cùng hành trình của tin nhắn trên đường tới đích. Người gửi gồm có Google, Meta, Amazon.com, một số ngân hàng châu Âu, các ứng dụng phổ biến như Tinder và Snapchat, sàn giao dịch tiền số Binance, và các nền tảng nhắn tin mã hóa như Signal và WhatsApp. Người nhận được xác định ở hơn 100 quốc gia khắp năm châu lục.
