Satu insiden keselamatan besar telah mendedahkan kelemahan sistem pengesahan dua faktor berasaskan SMS, dengan lebih satu juta kod pengesahan menjadi boleh diakses oleh sebuah syarikat telekomunikasi Switzerland yang kontroversi pada bulan Jun 2023. Pendedahan ini menyerlahkan kelemahan asas dalam infrastruktur keselamatan SMS dan menimbulkan persoalan serius tentang keselamatan kaedah pengesahan berasaskan teks yang digunakan oleh berjuta-juta pengguna di seluruh dunia.
 |
|---|
| Kerentanan sistem pengesahan dua faktor berasaskan SMS menyerlahkan keperluan mendesak untuk keselamatan dalam komunikasi digital |
Skala Pendedahan
Laporan penyiasatan oleh Bloomberg dan Lighthouse Reports, berdasarkan data daripada pemberi maklumat industri, mendedahkan bahawa lebih satu juta mesej SMS yang mengandungi kod pengesahan dua faktor telah melalui rangkaian Fink Telecom Services. Mesej-mesej ini berasal daripada syarikat teknologi utama termasuk Google, Meta, Amazon, Signal, dan WhatsApp, serta aplikasi popular seperti Tinder dan Snapchat, bursa mata wang kripto Binance, dan beberapa bank Eropah. Kod-kod tersebut ditujukan kepada pengguna di lebih 100 negara, menunjukkan skop global kelemahan keselamatan ini.
Syarikat dan Perkhidmatan yang Terjejas:
- Gergasi Teknologi: Google , Meta , Amazon
- Media Sosial/Aplikasi Temu Janji: Tinder , Snapchat
- Aplikasi Pemesejan: Signal , WhatsApp
- Mata Wang Kripto: Bursa Binance
- Perkhidmatan Kewangan: Beberapa bank Eropah
- Jangkauan Geografi: Pengguna di 100+ negara
Perantara Yang Kontroversi
Fink Telecom Services beroperasi sebagai perantara dalam rantaian penghantaran SMS, tetapi syarikat ini membawa beban berat yang menjadikan pendedahan ini amat membimbangkan. Syarikat Switzerland ini dan pengasasnya mempunyai hubungan terdokumen dengan agensi pengawasan kerajaan dan telah dituduh oleh penyelidik keselamatan siber terlibat dalam menyusup akaun peribadi dalam talian. Latar belakang ini mengubah apa yang mungkin sebaliknya merupakan kesilapan teknikal menjadi mimpi ngeri keselamatan negara dan privasi yang berpotensi untuk pengguna yang terjejas.
Bagaimana Penghalaan SMS Mencipta Kelemahan
Pendedahan berlaku kerana banyak syarikat menyumber luar penghantaran SMS untuk mengurangkan kos dan memudahkan operasi antarabangsa. Perantara ini mendapat akses kepada tajuk global - alamat rangkaian yang membolehkan komunikasi antara pembawa merentasi negara berbeza, menjadikannya kelihatan seolah-olah mesej berasal dari negara asal penerima. Fink Telecom menggunakan tajuk global dari Namibia, Chechnya, United Kingdom, dan Switzerland untuk memudahkan penghalaan mesej antarabangsa ini.
Lokasi Global Title Fink Telecom:
- Switzerland (negara asal)
- United Kingdom
- Namibia
- Chechnya
- Digunakan untuk memudahkan penghalaan SMS antarabangsa dan mengurangkan kos penghantaran
Respons Industri dan Penafian
Apabila berhadapan dengan pendedahan data, Ketua Pegawai Eksekutif Fink Telecom Andreas Fink menegaskan bahawa syarikatnya hanya menyediakan perkhidmatan infrastruktur tanpa menganalisis atau mengganggu trafik yang dihantar. Beberapa syarikat utama bertindak balas dengan menjauhkan diri daripada Fink Telecom, dengan Google, Meta, Signal, dan Binance menyatakan mereka tidak bekerja secara langsung dengan syarikat Switzerland tersebut. Google mengumumkan ia sedang beralih daripada pengesahan SMS sepenuhnya, manakala Meta dilaporkan mengarahkan rakan kongsinya untuk mengelak daripada terlibat dengan Fink Telecom.
Tindakan Kawal Selia dan Kebimbangan Industri
Insiden ini telah mendorong respons kawal selia, dengan Ofcom United Kingdom mengharamkan pajakan tajuk global untuk pembawa UK pada April 2024, memetik ancaman kepada pengguna telefon bimbit. Tindakan kawal selia ini mengakui risiko keselamatan yang wujud dalam infrastruktur penghalaan SMS semasa dan menunjukkan bahawa pihak berkuasa kerajaan mengambil serius kelemahan ini.
Alternatif Selamat kepada Pengesahan SMS
Pakar keselamatan telah lama menyokong untuk meninggalkan pengesahan dua faktor berasaskan SMS memihak kepada kaedah yang lebih selamat. Kunci keselamatan fizikal dan aplikasi pengesah seperti Microsoft Authenticator atau Google Authenticator menjana kod berasaskan masa secara langsung pada peranti pengguna, menghapuskan keperluan untuk penghantaran SMS tidak terenkripsi. Kaedah ini menyegar semula kod setiap 30 saat dan tidak bergantung pada infrastruktur telekomunikasi yang berpotensi terjejas.
Perbandingan Alternatif 2FA Selamat:
| Kaedah | Tahap Keselamatan | Kemudahan | Kerentanan kepada Pemintasan |
|---|---|---|---|
| Kod SMS | Rendah | Tinggi | Tinggi - Tidak disulitkan, penghalaan pihak ketiga |
| Aplikasi Pengesah | Tinggi | Sederhana | Rendah - Dijana secara tempatan, penyegaran 30 saat |
| Kunci Keselamatan Fizikal | Sangat Tinggi | Sederhana | Sangat Rendah - Berasaskan perkakasan, tiada penghantaran |
| Biometrik/Passkeys | Sangat Tinggi | Tinggi | Sangat Rendah - Disimpan dalam peranti, standard WebAuthn |
Jalan Ke Hadapan
Pendedahan ini berfungsi sebagai peringatan untuk kedua-dua syarikat dan pengguna tentang ketidakamanan asas pengesahan berasaskan SMS. Walaupun SMS kekal mudah dan disokong secara meluas, kekurangan enkripsi dan pergantungan pada perantara pihak ketiga mencipta berbilang titik kegagalan. Insiden ini menekankan keperluan mendesak untuk organisasi melaksanakan kaedah pengesahan yang lebih kukuh dan untuk pengguna secara aktif memilih pilihan keselamatan yang lebih kuat apabila tersedia.