Een Zwitsers telecombedrijf kan toegang krijgen tot de 2FA-codes die techbedrijven via sms versturen, zo stelt Bloomberg op basis van data die het samen met Lighthouse Reports ontving. Volgens deze laatste organisatie laten Google, Amazon, Meta en duizenden andere bedrijven hun klanten risico lopen omdat ze het versturen van 2FA-codes aan derde partijen hebben uitbesteed. Eén van de telecombedrijven die voor andere partijen sms-berichten verwerkt en verstuurt is het Zwitserse Fink Telecom Services.

Lighthouse Reports zegt dat het een dataset met honderd miljoen data packets ontving die door het netwerk van Fink waren gegaan. "Miljoenen van deze packets bevatten "A2P" (application-to-person) sms-berichten. We analyseerden die om afzenders, ontvangers en soort berichtinhoud te identificeren. We ontdekten miljoenen gevoelige beveiligingscodes en logins die via Fink Telecom Services werden verstuurd." De onderzoekers konden meer dan duizend bedrijven identificeren die van het telecombedrijf gebruikmaken.

Bloomberg meldt dat het één miljoen sms-berichten ontving die in juni 2023 werden verstuurd en van 2FA-codes waren voorzien. Het medium stelt dat Fink en de oprichter met inlichtingendiensten hebben samengewerkt. Fink laat in een reactie weten dat het wegens juridische beperkingen de inhoud niet mag bekijken en het verkeer van klanten ook niet analyseert. Verder stelt de onderneming dat het zich niet langer met surveillance bezighoudt.

Volgens privacyexpert Pat Walshe laat de data zien dat techbedrijven geen 2FA-codes via sms zouden moeten versturen. Google, Meta, Signal en Binance reageren dat ze niet direct met Fink samenwerken. Meta stelt dat het partners heeft ingelicht dat ze op geen enkele wijze van Fink gebruik moeten maken als ze diensten aan Meta of dochterondernemingen leveren.