Các công ty áp dụng xác thực SMS khi đăng nhập tài khoản đang bị đặt câu hỏi về trách nhiệm trước các cuộc tấn công hoán đổi SIM

 (keydiscussions.com)
1 điểm bởi GN⁺ 2024-02-07 | 1 bình luận | Chia sẻ qua WhatsApp

Trách nhiệm của các công ty đã áp dụng đăng nhập tài khoản dựa trên SMS

  • Lý do các cuộc tấn công hoán đổi SIM vẫn tiếp diễn là vì nhiều công ty như Apple, Dropbox, PayPal, Block và Google đã chấp nhận một ý tưởng tồi: dùng SMS cho việc đặt lại mật khẩu và đăng nhập tài khoản.
  • Tấn công hoán đổi SIM là khi tội phạm yêu cầu nhà mạng chuyển số điện thoại của nạn nhân sang điện thoại của chúng, từ đó nhận được thông tin đăng nhập tài khoản qua SMS để đánh cắp tiền và dữ liệu nhạy cảm.
  • Cách ngăn chặn tấn công hoán đổi SIM rất đơn giản: các công ty không nên cho phép đăng nhập hoặc đặt lại mật khẩu qua SMS; ngay cả khi cung cấp SMS 2FA, họ cũng nên đưa ra các lựa chọn an toàn hơn như Authy hoặc Google Authenticator.

Vấn đề của xác thực dựa trên SMS

  • Xác thực qua SMS thường được cung cấp như một phương thức tổng quát để bảo vệ khách hàng, nhưng dù tiện hơn so với các cách an toàn hơn như xác thực qua email, nó vẫn yếu về mặt bảo mật.
  • Gửi tin nhắn SMS cho khách hàng giống như gửi một tấm bưu thiếp không được mã hóa; như trong các cuộc tấn công hoán đổi SIM, bất kỳ ai mở được hộp thư cũng có thể chặn và đọc tin nhắn.
  • SMS không phải là lựa chọn tốt nhất để đặt lại mật khẩu, và dùng Authy hoặc email là các phương án 2FA tốt hơn.

Mặt tiêu cực của việc chấp nhận công nghệ

  • Apple, Google và các công ty khác đã củng cố vai trò của SMS bằng cách triển khai các tính năng hỗ trợ đặt lại mật khẩu và đăng nhập tài khoản qua SMS.
  • Các nhà cung cấp đám mây đang hưởng lợi từ việc cung cấp mã SMS, về bản chất là bán một công nghệ vốn có khiếm khuyết như thể đó là giải pháp an toàn.
  • Các dịch vụ tài chính như Wells Fargo, Cash App, Robinhood, Schwab, PayPal và Bank of America cũng đang cung cấp tính năng đặt lại/đăng nhập tài khoản bằng SMS.

Sự hiểu lầm của khách hàng

  • Khách hàng không hiểu bản chất thiếu an toàn của việc đặt lại qua SMS và thường ưu tiên sự tiện lợi hơn so với đặt lại qua email hoặc mã đăng nhập từ các ứng dụng 2FA như Authy.
  • Các công ty công nghệ đã thất bại trong việc bảo vệ khách hàng, và tác giả kỳ vọng tình hình sẽ thay đổi thông qua kiện tụng và lập pháp.

Ý kiến của GN⁺

  • Xác thực dựa trên SMS tuy tiện lợi nhưng tồn tại lỗ hổng bảo mật, vì vậy các công ty nên chuyển sang các phương thức xác thực an toàn hơn.
  • Tấn công hoán đổi SIM vẫn tiếp tục xảy ra dù đây là vấn đề hoàn toàn có thể phòng ngừa, và nguyên nhân đến từ việc các công ty lựa chọn công nghệ sai lầm.
  • Bài viết truyền tải thông điệp quan trọng rằng các công ty công nghệ phải ưu tiên bảo mật của khách hàng, loại bỏ các hệ thống xác thực dựa trên SMS và áp dụng những phương thức xác thực an toàn hơn, từ đó mang lại góc nhìn hữu ích cho người dùng và giới chuyên môn trong ngành.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-02-07
Ý kiến Hacker News

  • Phàn nàn về sự bất tiện của mã xác thực SMS

    • Trước đây, mã TOTP được 1Password tự động điền, nhưng giờ do xác thực SMS nên phải trả phí chuyển vùng quốc tế hoặc thiết lập chuyển tiếp SMS.
    • Có ý kiến cho rằng nên liên kết ứng dụng xác thực với SMS thay vì cung cấp số điện thoại cho mọi công ty.
    • Việc gắn số điện thoại với tài khoản là không tốt vì các lý do sau: mất/trộm điện thoại, chuyển quốc gia, tấn công SMS, tái sử dụng số điện thoại, và phải duy trì gói cước điện thoại trả phí.

  • Chia sẻ trải nghiệm về sự cố SMS của Payoneer

    • Đã từng có vấn đề với xác thực SMS của Payoneer đối với người dùng Movistar ở Argentina, nhưng không được chú ý trên Hacker News.
    • Kẻ tấn công đã xâm nhập cổng SMS dùng để gửi 2FA cho khách hàng Movistar, từ đó tìm ra email của người dùng Payoneer, đổi mật khẩu và chuyển tiền đi.
    • Cần cẩn trọng vì Facebook, Twitter và các dịch vụ khác cũng dùng cùng cổng SMS này để tiết kiệm chi phí.

  • Vấn đề đăng nhập khi mất số điện thoại

    • Nếu mất số điện thoại, có thể phát sinh vấn đề không đăng nhập được vào tài khoản Google.

  • So sánh sự bất tiện của xác thực SMS và sự tiện lợi của TOTP

    • Xác thực SMS gây phiền vì phải tìm điện thoại, trong khi TOTP tiện hơn nhờ có thể lưu mã trong KeePassXC.

  • Ý kiến ủng hộ về trải nghiệm người dùng (UX) của xác thực SMS

    • Đăng nhập và khôi phục tài khoản bằng SMS mang lại trải nghiệm người dùng tốt, và nhà mạng nên tăng cường bảo mật.

  • Phàn nàn về việc hạn chế dùng số Google Voice

    • Một số công ty cho rằng không thể dùng số Google Voice để xác thực hoặc xem đó là số điện thoại không hợp lệ.

  • Sự cần thiết của xác thực SMS và vai trò của nhà mạng

    • Việc yêu cầu người dùng phổ thông cài ứng dụng là gánh nặng lớn, và SMS là giải pháp thực tế duy nhất cho người dùng phổ thông.
    • Có ý kiến cho rằng cần khiến việc SIM swap trở nên khó hơn.

  • Mục đích của xác thực SMS và lập trường của doanh nghiệp

    • Xác thực SMS hiệu quả cho hai mục đích: chứng minh quyền sở hữu tài khoản và hạn chế người dùng không hợp lệ tạo tài khoản.
    • Doanh nghiệp không cung cấp giải pháp bảo mật tối ưu khi thuê ngoài quy trình KYC (Know Your Customer) cho các công ty viễn thông.

  • Chỉ trích xác thực SMS và vấn đề đổ trách nhiệm khỏi tội phạm

    • Những người chỉ trích đổ lỗi cho các công ty dùng xác thực SMS, nhưng trên thực tế kẻ phạm tội mới là bên phải chịu trách nhiệm.
    • Trách nhiệm cho các cuộc tấn công SIM swap thuộc về tội phạm.