บริษัทที่นำการล็อกอินด้วย SMS มาใช้ กำลังถูกตั้งคำถามเรื่องความรับผิดชอบต่อการโจมตีแบบ SIM swap

 (keydiscussions.com)
1 คะแนน โดย GN⁺ 2024-02-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ความรับผิดชอบของบริษัทที่ใช้การล็อกอินด้วย SMS

  • เหตุที่การโจมตีแบบ SIM swap ยังคงเกิดขึ้นอย่างต่อเนื่อง เป็นเพราะหลายบริษัท เช่น Apple, Dropbox, PayPal, Block และ Google เลือกใช้แนวทางที่ไม่ดีอย่างการใช้ SMS สำหรับรีเซ็ตรหัสผ่านและล็อกอินบัญชี
  • การโจมตีแบบ SIM swap คือการที่อาชญากรขอให้ผู้ให้บริการเครือข่ายย้ายหมายเลขโทรศัพท์ของเหยื่อไปยังโทรศัพท์ของตนเอง จากนั้นจึงรับข้อมูลสำหรับล็อกอินบัญชีผ่าน SMS เพื่อนำไปขโมยเงินและข้อมูลอ่อนไหว
  • วิธีป้องกันการโจมตีแบบ SIM swap นั้นง่ายมาก: บริษัทไม่ควรอนุญาตให้ล็อกอินหรือรีเซ็ตรหัสผ่านผ่าน SMS และหากยังมี SMS 2FA ก็ควรมีตัวเลือกที่ปลอดภัยกว่าด้วย เช่น Authy หรือ Google Authenticator

ปัญหาของการยืนยันตัวตนด้วย SMS

  • การยืนยันตัวตนผ่าน SMS แม้มักถูกนำเสนอว่าเป็นวิธีดูแลความปลอดภัยของลูกค้าโดยรวม แต่เมื่อเทียบกับวิธีที่ปลอดภัยกว่าซึ่งใช้อีเมลยืนยัน ก็แม้จะสะดวกแต่กลับอ่อนแอด้านความปลอดภัย
  • การส่งข้อความถึงลูกค้าด้วย SMS ก็เหมือนการส่งโปสการ์ดทางไปรษณีย์ที่ไม่เข้ารหัส และใครก็ตามสามารถเปิดตู้จดหมายแล้วดักอ่านข้อความได้ เช่นเดียวกับที่เกิดขึ้นในการโจมตีแบบ SIM swap
  • SMS ไม่ใช่ตัวเลือกที่ดีที่สุดสำหรับการรีเซ็ตรหัสผ่าน และการใช้ Authy หรืออีเมลเป็นตัวเลือก 2FA ที่ดีกว่า

ด้านลบของการยอมรับเทคโนโลยีนี้

  • Apple และ Google รวมถึงบริษัทอื่น ๆ ได้ตอกย้ำบทบาทของ SMS ด้วยการเพิ่มฟีเจอร์ที่รองรับการรีเซ็ตรหัสผ่านและการล็อกอินบัญชีผ่าน SMS
  • ผู้ให้บริการคลาวด์ทำกำไรจากการให้บริการรหัสผ่าน SMS และนี่คือการขายเทคโนโลยีที่มีข้อบกพร่องโดยพื้นฐานให้ดูเหมือนเป็นโซลูชันที่ปลอดภัย
  • บริการการเงินอย่าง Wells Fargo, Cash App, Robinhood, Schwab, PayPal และ Bank of America ก็มีฟีเจอร์รีเซ็ต/ล็อกอินบัญชีผ่าน SMS เช่นกัน

ความเข้าใจผิดของลูกค้า

  • ลูกค้าไม่เข้าใจธรรมชาติที่มีข้อบกพร่องของการรีเซ็ตผ่าน SMS และมักให้ความสำคัญกับความสะดวกมากกว่าการรีเซ็ตผ่านอีเมลหรือรหัสล็อกอินผ่านแอป 2FA อย่าง Authy
  • บริษัทเทคโนโลยีล้มเหลวในการปกป้องลูกค้า และหวังว่าสถานการณ์จะเปลี่ยนไปผ่านการฟ้องร้องและการออกกฎหมาย

ความเห็นของ GN⁺

  • การยืนยันตัวตนด้วย SMS แม้จะสะดวก แต่ก็มีช่องโหว่ด้านความปลอดภัย ทำให้บริษัทควรเปลี่ยนไปใช้วิธีการยืนยันตัวตนที่ปลอดภัยกว่า
  • การโจมตีแบบ SIM swap ยังคงเกิดขึ้นต่อไปทั้งที่เป็นปัญหาที่ป้องกันได้ และสิ่งนี้มีสาเหตุมาจากการเลือกใช้เทคโนโลยีที่ผิดพลาดของบริษัท
  • บทความนี้ส่งสารสำคัญว่าบริษัทเทคโนโลยีต้องให้ความสำคัญกับความปลอดภัยของลูกค้าเป็นอันดับแรก เลิกใช้ระบบยืนยันตัวตนผ่าน SMS และหันไปใช้วิธีที่ปลอดภัยกว่า ซึ่งช่วยมอบมุมมองที่น่าสนใจแก่ทั้งผู้ใช้และผู้เชี่ยวชาญในอุตสาหกรรม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-02-07
ความคิดเห็นจาก Hacker News

  • การบ่นถึงความไม่สะดวกของรหัสยืนยันผ่าน SMS

    • ก่อนหน้านี้ 1Password กรอกรหัส TOTP ให้อัตโนมัติได้ แต่ตอนนี้เพราะการยืนยันผ่าน SMS จึงต้องจ่ายค่าโรมมิงระหว่างประเทศหรือตั้งค่าการส่งต่อ SMS
    • มีความเห็นว่าควรเชื่อมแอปยืนยันตัวตนเข้ากับ SMS แทนการให้หมายเลขโทรศัพท์กับทุกบริษัท
    • การผูกหมายเลขโทรศัพท์เข้ากับบัญชีเป็นเรื่องไม่ดีด้วยเหตุผลต่อไปนี้: โทรศัพท์หาย/ถูกขโมย, ย้ายประเทศ, การโจมตีผ่าน SMS, การนำหมายเลขโทรศัพท์กลับมาใช้ซ้ำ, ความจำเป็นต้องคงแพ็กเกจโทรศัพท์แบบมีค่าใช้จ่ายไว้

  • ประสบการณ์เกี่ยวกับปัญหา SMS ของ Payoneer

    • เคยมีปัญหาการยืนยันตัวตนผ่าน SMS ของ Payoneer ที่กระทบผู้ใช้ Movistar ในอาร์เจนตินา แต่ไม่ได้รับความสนใจบน Hacker News
    • ผู้โจมตีแฮ็ก SMS gateway ที่ใช้ส่ง 2FA ให้ลูกค้า Movistar ทำให้ทราบอีเมลของผู้ใช้ Payoneer แล้วเปลี่ยนรหัสผ่านเพื่อโอนเงินออกไป
    • Facebook, Twitter และบริการอื่น ๆ ก็ใช้ SMS gateway เดียวกันเพื่อลดต้นทุน จึงต้องระวัง

  • ปัญหาการล็อกอินเมื่อสูญเสียหมายเลขโทรศัพท์

    • หากสูญเสียหมายเลขโทรศัพท์ ก็อาจเกิดปัญหาไม่สามารถล็อกอินเข้า Google account ได้

  • เปรียบเทียบความไม่สะดวกของ SMS กับความสะดวกของ TOTP

    • การยืนยันผ่าน SMS ทำให้ต้องคอยหาโทรศัพท์ แต่ TOTP สะดวกกว่าเพราะเก็บรหัสไว้ใน KeePassXC ได้

  • ความเห็นที่สนับสนุนประสบการณ์ผู้ใช้ (UX) ของการยืนยันผ่าน SMS

    • การล็อกอินและการกู้คืนบัญชีด้วย SMS มอบประสบการณ์ผู้ใช้ที่ดี และผู้ให้บริการเครือข่ายควรยกระดับความปลอดภัย

  • ความไม่พอใจต่อข้อจำกัดในการใช้หมายเลข Google Voice

    • บางบริษัทอ้างว่าใช้หมายเลข Google Voice สำหรับการยืนยันไม่ได้ หรือมองว่าเป็นหมายเลขโทรศัพท์ที่ไม่ถูกต้อง

  • ความจำเป็นของ SMS และบทบาทของผู้ให้บริการเครือข่าย

    • การบังคับให้ผู้ใช้ทั่วไปติดตั้งแอปเป็นภาระใหญ่ และ SMS เป็นทางออกที่ใช้ได้จริงเพียงอย่างเดียวสำหรับผู้ใช้ทั่วไป
    • มีความเห็นว่าควรทำให้การสลับ SIM ทำได้ยากขึ้น

  • วัตถุประสงค์ของการยืนยันผ่าน SMS และมุมมองของบริษัท

    • การยืนยันผ่าน SMS มีประสิทธิภาพสำหรับสองเป้าหมาย คือพิสูจน์ความเป็นเจ้าของบัญชีและจำกัดการสร้างบัญชีโดยผู้ใช้ที่ไม่พึงประสงค์
    • บริษัทต่าง ๆ ไม่ได้มอบโซลูชันความปลอดภัยที่ดีที่สุด เพราะเลือกเอากระบวนการ KYC (Know Your Customer) ไป outsource ให้บริษัทโทรศัพท์มือถือ

  • คำวิจารณ์ต่อการยืนยันผ่าน SMS และปัญหาการโยนความรับผิดชอบให้ฝ่ายอื่น

    • ผู้วิจารณ์ตำหนิบริษัทที่ใช้การยืนยันผ่าน SMS แต่ในความเป็นจริงผู้ที่ควรรับผิดชอบคืออาชญากร
    • ความรับผิดชอบต่อการโจมตีแบบ SIM swap อยู่ที่อาชญากร