Các nhà nghiên cứu vừa cho biết rằng 2FA có thể dẫn đến nguy cơ bảo mật với các số điện thoại tái chế, điều mà nhiều nhà cung cấp dịch vụ viễn thông đang gặp phải.
Số điện thoại được sử dụng nhiều trong xác thực hai yếu tố ngày nay.
Theo các nhà nghiên cứu, nhiều người dùng chuyển địa điểm hoặc đổi nhà cung cấp dịch vụ di động, họ sẽ phải thay đổi số điện thoại của mình. Nhưng không có nguồn cung cấp số điện thoại không sử dụng vô thời hạn, do đó những số điện thoại bị loại bỏ thường được tái sử dụng. Đó là lý do vì sao nhiều người mua số điện thoại mới nhưng lại hay bị làm phiền bởi một loạt các cuộc gọi cho người chủ nhân số điện thoại trước đó.
Nhưng người dùng có thể bị làm phiền bởi nhiều điều hơn thế. Nếu trước đó số này được gắn với 2FA, thông tin từ các tài khoản sẽ có nguy cơ bảo mật. Bây giờ thay vì cần hai yếu tố để truy cập, tất cả những gì người dùng cần là số điện thoại.
Các nhà nghiên cứu của Đại học Princeton đã phát hiện ra nguy cơ bảo mật liên quan đến 2FA và số điện thoại tái chế. Trong số hơn 250 số điện thoại mà các nhà nghiên cứu đã lấy mẫu, có 17 số được kết nối với các tài khoản tại các trang web phổ biến. Những con số đã được lấy mẫu này có sẵn cho hai nhà cung cấp dịch vụ lớn.
“Ngoài ra, phần lớn số lượng có sẵn đã dẫn đến lượt truy cập vào các dịch vụ tìm kiếm người, cung cấp thông tin nhận dạng cá nhân về chủ sở hữu trước đó. Hơn nữa, một phần đáng kể (100 trong số 259) số có liên quan đến thông tin đăng nhập bị rò rỉ trên web, điều này có thể cho phép chiếm đoạt tài khoản đánh bại xác thực đa yếu tố dựa trên SMS”, các nhà nghiên cứu nêu chi tiết trong nghiên cứu của họ.
Người dùng được khuyến cáo xử lý các số điện thoại cũ đúng cách.
“Chúng tôi cũng nhận thấy những điểm yếu về thiết kế trong giao diện trực tuyến của các nhà mạng và chính sách tái sử dụng số có thể tạo điều kiện cho các cuộc tấn công liên quan đến tái sử dụng số”, các nhà nghiên cứu cho biết thêm.
Chủ sở hữu mới của số điện thoại phải chịu các cuộc gọi và tin nhắn liên quan đến bảo mật và quyền riêng tư, bao gồm cả những thứ như mật mã xác thực. Các nhà nghiên cứu của Princeton tin rằng các chủ sở hữu mới có thể khai thác các tài khoản mà số của họ có liên quan trong việc xác thực.
Nhiều người có thể đặt ra câu hỏi rằng mình có thể làm gì khi thay đổi số điện thoại để hạn chế rủi ro bảo mật cho các tài khoản của được kết nối với 2FA, bởi việc theo dõi tất cả các tài khoản được bảo vệ bởi 2FA sẽ là một cơn ác mộng. Các nhà nghiên cứu của Princeton tin rằng người dùng nên “gửi số cũ” của mình khi chuyển sang số mới. Họ có thể thực hiện việc này với dịch vụ gửi số, nhà điều hành mạng ảo di động (MVNO) hoặc nhà cung cấp VOIP. Điều này có thể cho người dùng thêm thời gian cần thiết để cập nhật cài đặt 2FA trên các tài khoản cũ của mình.