Một sự cố bảo mật nghiêm trọng đã tiết lộ lỗ hổng của hệ thống xác thực hai yếu tố dựa trên SMS, với hơn một triệu mã xác thực có thể bị truy cập bởi một công ty viễn thông Thụy Sĩ gây tranh cãi trong tháng 6 năm 2023. Vụ lộ thông tin này làm nổi bật những điểm yếu cơ bản trong cơ sở hạ tầng bảo mật SMS và đặt ra những câu hỏi nghiêm túc về tính an toàn của các phương thức xác thực dựa trên tin nhắn được sử dụng bởi hàng triệu người dùng trên toàn thế giới.
 |
|---|
| Lỗ hổng của hệ thống xác thực hai yếu tố qua SMS làm nổi bật nhu cầu cấp thiết về bảo mật trong giao tiếp kỹ thuật số |
Quy Mô Của Vụ Lộ Thông Tin
Báo cáo điều tra của Bloomberg và Lighthouse Reports, dựa trên dữ liệu từ một người tố giác trong ngành, đã phát hiện ra rằng hơn một triệu tin nhắn SMS chứa mã xác thực hai yếu tố đã đi qua mạng lưới của Fink Telecom Services. Những tin nhắn này có nguồn gốc từ các công ty công nghệ lớn bao gồm Google, Meta, Amazon, Signal và WhatsApp, cũng như các ứng dụng phổ biến như Tinder và Snapchat, sàn giao dịch tiền điện tử Binance, và một số ngân hàng châu Âu. Các mã này được gửi đến người dùng tại hơn 100 quốc gia, cho thấy phạm vi toàn cầu của lỗ hổng bảo mật này.
Các Công ty và Dịch vụ Bị Ảnh hưởng:
- Các Gã khổng lồ Công nghệ: Google , Meta , Amazon
- Ứng dụng Mạng xã hội/Hẹn hò: Tinder , Snapchat
- Ứng dụng Nhắn tin: Signal , WhatsApp
- Tiền điện tử: Sàn giao dịch Binance
- Dịch vụ Tài chính: Một số ngân hàng châu Âu
- Phạm vi Địa lý: Người dùng tại hơn 100 quốc gia
Công Ty Trung Gian Gây Tranh Cãi
Fink Telecom Services hoạt động như một trung gian trong chuỗi phân phối SMS, nhưng công ty này mang theo những vấn đề đáng kể khiến vụ lộ thông tin này trở nên đặc biệt đáng lo ngại. Công ty Thụy Sĩ này và người sáng lập của nó có những mối liên hệ được ghi nhận với các cơ quan giám sát của chính phủ và đã bị các nhà nghiên cứu an ninh mạng cáo buộc tham gia vào việc xâm nhập các tài khoản trực tuyến riêng tư. Bối cảnh này biến những gì có thể chỉ là một sự cố kỹ thuật thành một cơn ác mộng tiềm tàng về an ninh quốc gia và quyền riêng tư cho những người dùng bị ảnh hưởng.
Cách Định Tuyến SMS Tạo Ra Các Lỗ Hổng
Vụ lộ thông tin xảy ra vì nhiều công ty thuê ngoài việc phân phối SMS để giảm chi phí và đơn giản hóa các hoạt động quốc tế. Những trung gian này có quyền truy cập vào các global title - địa chỉ mạng cho phép giao tiếp giữa các nhà mạng khác nhau giữa các quốc gia, khiến các tin nhắn có vẻ như xuất phát từ quốc gia của người nhận. Fink Telecom đã sử dụng global title từ Namibia, Chechnya, Vương quốc Anh và Thụy Sĩ để tạo điều kiện cho việc định tuyến tin nhắn quốc tế này.
Vị trí Global Title của Fink Telecom:
- Switzerland (quốc gia chủ quản)
- United Kingdom
- Namibia
- Chechnya
- Được sử dụng để tạo thuận lợi cho việc định tuyến SMS quốc tế và giảm chi phí gửi tin
Phản Ứng Của Ngành Và Sự Phủ Nhận
Khi bị đối chất về vụ lộ dữ liệu, CEO của Fink Telecom Andreas Fink khẳng định rằng công ty của ông chỉ cung cấp dịch vụ cơ sở hạ tầng mà không phân tích hoặc can thiệp vào lưu lượng truyền tải. Một số công ty lớn đã phản ứng bằng cách tách rời khỏi Fink Telecom, với Google, Meta, Signal và Binance tuyên bố họ không làm việc trực tiếp với công ty Thụy Sĩ này. Google thông báo họ đang chuyển đổi hoàn toàn khỏi xác thực SMS, trong khi Meta được cho là đã chỉ thị các đối tác tránh tham gia với Fink Telecom.
Hành Động Quản Lý Và Mối Quan Ngại Của Ngành
Sự cố này đã thúc đẩy các phản ứng quản lý, với Ofcom của Vương quốc Anh cấm việc cho thuê global title cho các nhà mạng UK vào tháng 4 năm 2024, với lý do đe dọa đến người dùng điện thoại di động. Hành động quản lý này thừa nhận những rủi ro bảo mật vốn có trong cơ sở hạ tầng định tuyến SMS hiện tại và cho thấy rằng các cơ quan chính phủ đang coi trọng những lỗ hổng này.
Các Phương Án Thay Thế An Toàn Cho Xác Thực SMS
Các chuyên gia bảo mật từ lâu đã ủng hộ việc từ bỏ xác thực hai yếu tố dựa trên SMS để chuyển sang các phương pháp an toàn hơn. Khóa bảo mật vật lý và các ứng dụng xác thực như Microsoft Authenticator hoặc Google Authenticator tạo mã dựa trên thời gian trực tiếp trên thiết bị người dùng, loại bỏ nhu cầu truyền SMS không mã hóa. Những phương pháp này làm mới mã mỗi 30 giây và không dựa vào cơ sở hạ tầng viễn thông có thể bị xâm phạm.
So sánh các phương thức 2FA an toàn thay thế:
| Phương thức | Mức độ bảo mật | Tiện lợi | Khả năng bị chặn bắt |
|---|---|---|---|
| Mã SMS | Thấp | Cao | Cao - Không mã hóa, định tuyến qua bên thứ ba |
| Ứng dụng xác thực | Cao | Trung bình | Thấp - Tạo cục bộ, làm mới mỗi 30 giây |
| Khóa bảo mật vật lý | Rất cao | Trung bình | Rất thấp - Dựa trên phần cứng, không truyền tải |
| Sinh trắc học/Passkeys | Rất cao | Cao | Rất thấp - Lưu trữ trên thiết bị, tiêu chuẩn WebAuthn |
Con Đường Phía Trước
Vụ lộ thông tin này đóng vai trò như một hồi chuông cảnh báo cho cả các công ty và người dùng về tính không an toàn cơ bản của xác thực dựa trên SMS. Mặc dù SMS vẫn tiện lợi và được hỗ trợ rộng rãi, việc thiếu mã hóa và phụ thuộc vào các trung gian bên thứ ba tạo ra nhiều điểm lỗi. Sự cố này nhấn mạnh nhu cầu cấp thiết cho các tổ chức triển khai các phương pháp xác thực mạnh mẽ hơn và cho người dùng chủ động chọn các tùy chọn bảo mật mạnh hơn khi có sẵn.