Nghiên cứu mới đây cho thấy các trang web xác thực người dùng thông qua các liên kết và mã được gửi qua tin nhắn văn bản đang đe dọa quyền riêng tư của hàng triệu người, khiến họ dễ bị lừa đảo, đánh cắp danh tính và các tội phạm khác.

Các liên kết này được gửi đến những người đang tìm kiếm nhiều dịch vụ khác nhau, bao gồm cả báo giá bảo hiểm, danh sách việc làm và giới thiệu người trông nom thú cưng và gia sư. Để loại bỏ sự phiền phức khi phải thu thập tên người dùng và mật khẩu—và việc người dùng phải tạo và nhập chúng—nhiều dịch vụ như vậy yêu cầu người dùng cung cấp số điện thoại di động khi đăng ký tài khoản. Sau đó, các dịch vụ sẽ gửi liên kết xác thực hoặc mã xác nhận qua tin nhắn SMS khi người dùng muốn đăng nhập.

Dễ dàng triển khai trên quy mô lớn

Một bài báo được công bố tuần trước đã phát hiện hơn 700 điểm cuối cung cấp các văn bản như vậy thay mặt cho hơn 175 dịch vụ, gây nguy hiểm cho bảo mật và quyền riêng tư của người dùng. Một trong những thủ đoạn gây nguy hiểm cho người dùng là việc sử dụng các liên kết dễ bị đánh số, nghĩa là kẻ gian lận có thể đoán được chúng bằng cách đơn giản là sửa đổi mã bảo mật, thường xuất hiện ở bên phải URL. Bằng cách tăng hoặc đoán ngẫu nhiên mã bảo mật—ví dụ, bằng cách thay đổi 123 thành 124 hoặc ABC thành ABD, v.v.—các nhà nghiên cứu đã có thể truy cập vào tài khoản của người dùng khác. Từ đó, các nhà nghiên cứu có thể xem các chi tiết cá nhân, chẳng hạn như các đơn đăng ký bảo hiểm chưa hoàn thành.

Trong những trường hợp khác, các nhà nghiên cứu có thể đã thực hiện các giao dịch nhạy cảm trong khi giả mạo người dùng khác. Một số liên kết khác sử dụng quá ít tổ hợp mã thông báo khả dụng, khiến chúng dễ bị tấn công bằng phương pháp vét cạn. Các ví dụ khác về những hành vi cẩu thả là các liên kết cho phép kẻ tấn công, sau khi giành được quyền truy cập trái phép, truy cập hoặc sửa đổi dữ liệu người dùng mà không cần bất kỳ xác thực nào khác ngoài việc nhấp vào liên kết được gửi qua SMS. Nhiều liên kết cung cấp quyền truy cập tài khoản trong nhiều năm sau khi chúng được gửi, làm tăng thêm nguy cơ truy cập trái phép.

“Chúng tôi cho rằng những cuộc tấn công này rất dễ kiểm tra, xác minh và thực hiện trên quy mô lớn,” các nhà nghiên cứu đến từ các trường đại học New Mexico, Arizona, Louisiana và công ty Circle viết. “Mô hình đe dọa này có thể được hiện thực hóa bằng phần cứng dành cho người tiêu dùng và chỉ cần kiến ​​thức bảo mật web từ cơ bản đến trung cấp.”

Tin nhắn SMS được gửi đi mà không mã hóa. Trong những năm qua, các nhà nghiên cứu đã phát hiện ra các cơ sở dữ liệu công khai về các tin nhắn văn bản đã gửi trước đó, trong đó có chứa các liên kết xác thực và thông tin cá nhân, bao gồm tên và địa chỉ của người dùng. Một phát hiện như vậy, từ năm 2019 , bao gồm hàng triệu tin nhắn văn bản đã gửi và nhận được lưu trữ trong nhiều năm giữa một doanh nghiệp duy nhất và khách hàng của họ. Chúng bao gồm tên người dùng và mật khẩu, đơn xin tài chính đại học và các tin nhắn tiếp thị với mã giảm giá và thông báo việc làm.

Mặc dù biết rõ về sự thiếu an toàn, hình thức này vẫn tiếp tục phát triển mạnh. Vì lý do đạo đức, các nhà nghiên cứu thực hiện nghiên cứu này không thể nắm bắt được quy mô thực sự của nó, bởi vì điều đó đòi hỏi phải vượt qua các biện pháp kiểm soát truy cập, dù chúng có yếu đến đâu. Để có cái nhìn hạn chế về quy trình này, các nhà nghiên cứu đã xem xét các cổng SMS công cộng. Đây thường là các trang web dựa trên quảng cáo cho phép mọi người sử dụng số điện thoại tạm thời để nhận tin nhắn mà không tiết lộ số điện thoại của họ. Ví dụ về các cổng như vậy có thể xem tại đây và đây .

Với cái nhìn hạn chế về các tin nhắn xác thực được gửi qua SMS, các nhà nghiên cứu không thể đo lường được phạm vi thực sự của hoạt động này cũng như các rủi ro về bảo mật và quyền riêng tư mà nó gây ra. Tuy nhiên, những phát hiện của họ vẫn đáng chú ý.

Các nhà nghiên cứu đã thu thập 322.949 URL duy nhất được gửi qua tin nhắn SMS, trích xuất từ ​​hơn 33 triệu tin nhắn văn bản được gửi đến hơn 30.000 số điện thoại. Họ đã tìm thấy nhiều bằng chứng về các mối đe dọa an ninh và quyền riêng tư đối với những người nhận tin nhắn. Trong số đó, các nhà nghiên cứu cho biết, các tin nhắn có nguồn gốc từ 701 điểm cuối được gửi thay mặt cho 177 dịch vụ đã làm lộ “thông tin nhận dạng cá nhân quan trọng”. Nguyên nhân gốc rễ của việc lộ thông tin là do xác thực yếu dựa trên các liên kết được mã hóa để xác minh. Bất kỳ ai có liên kết đó đều có thể lấy được thông tin cá nhân của người dùng – bao gồm số an sinh xã hội, ngày sinh, số tài khoản ngân hàng và điểm tín dụng – từ các dịch vụ này.

Trong số 701 dịch vụ, 125 dịch vụ cho phép "liệt kê hàng loạt các URL hợp lệ do độ nhiễu thấp". Kẻ tấn công nhận được liên kết từ cùng một dịch vụ sau đó có thể dễ dàng sửa đổi mã thông báo mà chúng có để truy cập vào tài khoản của người khác.

Do cái nhìn hạn chế về thực tiễn, những con số này có thể thấp hơn đáng kể so với số lượng thực tế các dịch vụ gây nguy hiểm đến an ninh và quyền riêng tư của người dùng bằng cách gửi các liên kết như vậy.

Việc lan truyền rộng rãi các liên kết không an toàn trong tin nhắn SMS đồng nghĩa với việc hầu hết mọi người khó có thể thực hiện các bước cụ thể để tự bảo vệ mình. Nhìn lại và đánh giá các quy trình xác thực yếu kém nói chung, Muhammad Danish, tác giả chính của bài báo, đã viết trong một email:

Nguyên nhân gốc rễ mà chúng tôi tìm thấy liên quan đến các nhà cung cấp dịch vụ và trách nhiệm thuộc về họ. Chúng ta có thể nói rằng người dùng không nên cung cấp thông tin nhạy cảm cho các nguồn không đáng tin cậy, nhưng đề xuất đó không hiệu quả trong trường hợp của chúng tôi vì danh sách của chúng tôi bao gồm cả những nhà cung cấp dịch vụ lâu đời với hàng triệu người dùng hoạt động. Người dùng có thể giúp chúng tôi bằng cách báo cáo cho các nhà cung cấp dịch vụ hoặc xóa dữ liệu của họ cho đến khi được khắc phục nếu họ phát hiện bất kỳ vấn đề nào trong số này trên một trang web.

Các ví dụ về những dịch vụ vi phạm có thể được tìm thấy trong bài báo được liên kết ở trên.

Phương pháp này phổ biến vì nó giảm thiểu rào cản đối với khách hàng tiềm năng. Một lợi ích khác là các thiết bị đầu cuối không cần phải thu thập và lưu trữ tên người dùng và mật khẩu, những thông tin đã được chứng minh nhiều lần là dễ bị tin tặc đánh cắp. Một lý do khác khiến chúng được sử dụng là do giả định sai lầm của những người thiết lập dịch vụ rằng các liên kết như vậy sẽ hạn chế tất cả những người khác ngoài người gửi tin nhắn, cũng như do cấu hình sai hoặc thiếu đánh giá bảo mật của các thiết bị đầu cuối.

Muhammad, giống như các chuyên gia bảo mật khác, cho biết các liên kết xác thực được gửi qua SMS hoặc email không tự động là không an toàn miễn là các liên kết đó có thời hạn ngắn, hết hạn sau lần đăng nhập đầu tiên và có mã thông báo được mã hóa an toàn. Các trang web chú trọng đến quyền riêng tư, bao gồm DuckDuckGo và 404 Media, đã chọn cách xác thực người dùng bằng "liên kết thần kỳ" được gửi đến địa chỉ email của chủ tài khoản.