一項最新研究顯示，數百萬用戶正因短信免密登錄功能面臨隱私泄露的嚴重威脅。這種被廣泛應用于保險報價、求職招聘和家政服務領域的便捷登錄方式，正在將用戶置于潛在的安全風險之中。

由多所大學及科技公司組成的聯合研究團隊發現，短信免密登錄機制存在重大設計缺陷。該功能通過向用戶手機發送包含認證鏈接的短信來替代傳統密碼，雖然省去了記憶密碼的麻煩，卻為詐騙者提供了可乘之機。研究人員指出，攻擊者可能利用這些漏洞實施身份盜竊，甚至在未經授權的情況下訪問或修改用戶的敏感業務數據，如保險申請單等。

問題的根源在于驗證鏈接的生成方式過于簡單，缺乏必要的隨機性。研究發現，許多服務商使用的安全令牌（tokens）存在明顯的序列規律，這使得攻擊者能夠通過簡單的修改嘗試（如將鏈接末尾的字符"ABC"改為"ABD"）來訪問其他用戶的賬戶。這種被稱為"枚舉攻擊"的手段，即使不具備專業網絡安全知識的人也能實施。

更令人擔憂的是，部分服務商的安全措施形同虛設。攻擊者在點擊鏈接后無需任何額外驗證即可直接進入系統，且這些鏈接的有效期往往長達數年，進一步加劇了安全風險。研究團隊通過分析公共短信網關中的超過3300萬條短信，提取了約3.23億個唯一URL，發現177項服務中有125項存在此類漏洞，允許攻擊者大規模枚舉有效鏈接。

盡管研究團隊已將漏洞情況告知相關服務商，但響應情況不容樂觀。在聯系的150家受影響企業中，僅有18家給予回復，最終只有7家采取了修復措施。這種緩慢的應對速度引發了對用戶數據安全的進一步擔憂。

面對此類風險，一些注重隱私保護的網站已開始采用更安全的替代方案。例如，DuckDuckGo和404 Media等平臺轉而使用基于電子郵件的"魔術鏈接"登錄方式。這種機制通過發送有時效限制（通常為24小時內有效）的一次性登錄鏈接，并結合郵箱的雙重驗證功能，在一定程度上提高了賬戶安全性。