เหตุการณ์ด้านความปลอดภัยครั้งสำคัญได้เปิดเผยช่องโหว่ของระบบยืนยันตัวตนสองขั้นตอนแบบ SMS โดยมีรหัสยืนยันตัวตนกว่าหนึ่งล้านรหัสที่สามารถเข้าถึงได้ผ่านบริษัทโทรคมนาคม Swiss ที่เป็นที่ถกเถียงในช่วงเดือนมิถุนายน 2023 การเปิดเผยครั้งนี้เน้นย้ำถึงจุดอ่อนพื้นฐานในโครงสร้างความปลอดภัยของ SMS และทำให้เกิดคำถามร้ายแรงเกี่ยวกับความปลอดภัยของวิธีการยืนยันตัวตนผ่านข้อความที่ผู้ใช้หลายล้านคนทั่วโลกใช้อยู่
 |
|---|
| ช่องโหว่ของระบบการยืนยันตัวตนแบบสองขั้นตอนผ่าน SMS เน้นย้ำถึงความจำเป็นเร่งด่วนในการรักษาความปลอดภัยของการสื่อสารดิจิทัล |
ขนาดของการเปิดเผย
การรายงานสืบสวนโดย Bloomberg และ Lighthouse Reports ซึ่งอิงจากข้อมูลจากผู้แจ้งเบาะแสในอุตสาหกรรม เปิดเผยว่าข้อความ SMS ที่มีรหัสยืนยันตัวตนสองขั้นตอนกว่าหนึ่งล้านข้อความได้ผ่านเครือข่ายของ Fink Telecom Services ข้อความเหล่านี้มาจากบริษัทเทคโนโลยีใหญ่ๆ รวมถึง Google , Meta , Amazon , Signal และ WhatsApp รวมทั้งแอปพลิเคชันยอดนิยมอย่าง Tinder และ Snapchat , แพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล Binance และธนาคารหลายแห่งในยุโรป รหัสเหล่านี้มีปลายทางเป็นผู้ใช้ในกว่า 100 ประเทศ ซึ่งแสดงให้เห็นถึงขอบเขตระดับโลกของช่องโหว่ด้านความปลอดภัยนี้
บริษัทและบริการที่ได้รับผลกระทบ:
- ยักษ์ใหญ่ด้านเทคโนโลยี: Google , Meta , Amazon
- แอปโซเชียลมีเดีย/หาคู่: Tinder , Snapchat
- แอปส่งข้อความ: Signal , WhatsApp
- สกุลเงินดิจิทัล: แพลตฟอร์มแลกเปลี่ยน Binance
- บริการทางการเงิน: ธนาคารหลายแห่งในยุโรป
- ขอบเขตทางภูมิศาสตร์: ผู้ใช้งานใน 100+ ประเทศ
ตัวกลางที่เป็นที่ถกเถียง
Fink Telecom Services ดำเนินงานในฐานะตัวกลางในห่วงโซ่การส่ง SMS แต่บริษัทนี้มีประวัติที่น่าสงสัยซึ่งทำให้การเปิดเผยครั้งนี้น่าเป็นห่วงเป็นใยเป็นพิเศษ บริษัท Swiss นี้และผู้ก่อตั้งมีการเชื่อมโยงที่มีเอกสารยืนยันกับหน่วยงานสอดแนมของรัฐบาล และถูกนักวิจัยด้านไซเบอร์ความปลอดภัยกล่าวหาว่ามีส่วนเกี่ยวข้องในการแทรกซึมเข้าสู่บัญชีออนไลน์ส่วนตัว ประวัติเบื้องหลังนี้เปลี่ยนสิ่งที่อาจเป็นเพียงการละเลยทางเทคนิคให้กลายเป็นฝันร้ายด้านความมั่นคงแห่งชาติและความเป็นส่วนตัวที่อาจเกิดขึ้นสำหรับผู้ใช้ที่ได้รับผลกระทบ
การกำหนดเส้นทาง SMS สร้างช่องโหว่อย่างไร
การเปิดเผยเกิดขึ้นเนื่องจากบริษัทหลายแห่งจ้างบุคคลภายนอกในการส่ง SMS เพื่อลดต้นทุนและทำให้การดำเนินงานระหว่างประเทศง่ายขึ้น ตัวกลางเหล่านี้ได้รับการเข้าถึงไปยัง global titles - ที่อยู่เครือข่ายที่ช่วยให้สามารถสื่อสารระหว่างผู้ให้บริการในประเทศต่างๆ ทำให้ดูเหมือนว่าข้อความมาจากประเทศบ้านเกิดของผู้รับ Fink Telecom ใช้ global titles จาก Namibia , Chechnya , สหราชอาณาจักร และ Switzerland เพื่ออำนวยความสะดวกในการกำหนดเส้นทางข้อความระหว่างประเทศนี้
ตำแหน่งที่ตั้ง Global Title ของ Fink Telecom :
- Switzerland (ประเทศต้นทาง)
- United Kingdom
- Namibia
- Chechnya
- ใช้เพื่ออำนวยความสะดวกในการกำหนดเส้นทาง SMS ระหว่างประเทศและลดต้นทุนการส่ง
การตอบสนองของอุตสาหกรรมและการปฏิเสธ
เมื่อถูกเผชิญหน้าเกี่ยวกับการเปิดเผยข้อมูล CEO ของ Fink Telecom Andreas Fink ยืนยันว่าบริษัทของเขาให้บริการเพียงโครงสร้างพื้นฐานโดยไม่วิเคราะห์หรือแทรกแซงการส่งข้อมูล บริษัทใหญ่หลายแห่งตอบสนองด้วยการแยกตัวออกจาก Fink Telecom โดย Google , Meta , Signal และ Binance แถลงว่าพวกเขาไม่ได้ทำงานโดยตรงกับบริษัท Swiss นี้ Google ประกาศว่าจะเปลี่ยนจากการใช้การยืนยันตัวตน SMS ทั้งหมด ในขณะที่ Meta รายงานว่าได้สั่งการให้พันธมิตรหลีกเลี่ยงการเข้าร่วมกับ Fink Telecom
การดำเนินการด้านกฎระเบียบและความกังวลของอุตสาหกรรม
เหตุการณ์นี้ได้กระตุ้นให้เกิดการตอบสนองด้านกฎระเบียบ โดย Ofcom ของสหราชอาณาจักรได้ห้ามการให้เช่า global title สำหรับผู้ให้บริการในสหราชอาณาจักรในเดือนเมษายน 2024 โดยอ้างถึงภัยคุกคามต่อผู้ใช้โทรศัพท์มือถือ การดำเนินการด้านกฎระเบียบนี้ยอมรับความเสี่ยงด้านความปลอดภัยที่แท้จริงในโครงสร้างการกำหนดเส้นทาง SMS ปัจจุบัน และชี้ให้เห็นว่าหน่วยงานรัฐบาลกำลังให้ความสำคัญกับช่องโหว่เหล่านี้อย่างจริงจัง
ทางเลือกที่ปลอดภัยสำหรับการยืนยันตัวตน SMS
ผู้เชี่ยวชาญด้านความปลอดภัยได้สนับสนุนมาอย่างยาวนานให้ละทิ้งการยืนยันตัวตนสองขั้นตอนแบบ SMS เพื่อใช้วิธีการที่ปลอดภัยกว่า กุญแจความปลอดภัยทางกายภาพและแอปพลิเคชันยืนยันตัวตนอย่าง Microsoft Authenticator หรือ Google Authenticator สร้างรหัสที่อิงเวลาโดยตรงบนอุปกรณ์ของผู้ใช้ ซึ่งช่วยขจัดความจำเป็นในการส่ง SMS ที่ไม่เข้ารหัส วิธีการเหล่านี้รีเฟรชรหัสทุก 30 วินาที และไม่พึ่งพาโครงสร้างโทรคมนาคมที่อาจถูกบุกรุก
การเปรียบเทียบทางเลือก 2FA ที่ปลอดภัย:
| วิธีการ | ระดับความปลอดภัย | ความสะดวก | ความเสี่ยงต่อการถูกดักฟัง |
|---|---|---|---|
| รหัส SMS | ต่ำ | สูง | สูง - ไม่เข้ารหัส, ผ่านบุคคลที่สาม |
| แอปตรวจสอบตัวตน | สูง | ปานกลาง | ต่ำ - สร้างในเครื่อง, รีเฟรชทุก 30 วินาที |
| กุญแจความปลอดภัยแบบฮาร์ดแวร์ | สูงมาก | ปานกลาง | ต่ำมาก - ใช้ฮาร์ดแวร์, ไม่มีการส่งข้อมูล |
| ไบโอเมตริกส์/ Passkeys | สูงมาก | สูง | ต่ำมาก - เก็บในอุปกรณ์, มาตรฐาน WebAuthn |
เส้นทางข้างหน้า
การเปิดเผยครั้งนี้ทำหน้าที่เป็นสัญญาณเตือนสำหรับทั้งบริษัทและผู้ใช้เกี่ยวกับความไม่ปลอดภัยพื้นฐานของการยืนยันตัวตนแบบ SMS แม้ว่า SMS จะยังคงสะดวกและได้รับการสนับสนุนอย่างกว้างขวาง แต่การขาดการเข้ารหัสและการพึ่งพาตัวกลางบุคคลที่สามสร้างจุดล้มเหลวหลายจุด เหตุการณ์นี้เน้นย้ำถึงความจำเป็นเร่งด่วนสำหรับองค์กรในการนำวิธีการยืนยันตัวตนที่แข็งแกร่งกว่ามาใช้ และสำหรับผู้ใช้ในการเลือกตัวเลือกความปลอดภัยที่แข็งแกร่งกว่าเมื่อมีให้