เว็บไซต์จำนวนมากนิยมใช้การยืนยันตัวตนผ่านลิงก์หรือรหัสที่ส่งมาทาง SMS แทนการสร้างและจดจำชื่อผู้ใช้และรหัสผ่านที่ซับซ้อน เพื่อความสะดวกสบายแก่ผู้ใช้งาน.
ทว่า งานวิจัยที่ตีพิมพ์เมื่อไม่นานมานี้ได้เปิดเผยช่องโหว่ร้ายแรงในระบบดังกล่าว พบว่าเว็บไซต์กว่า 175 แห่งที่ใช้งานระบบนี้ผ่าน 700 กว่าจุดเชื่อมต่อ กำลังทำให้ข้อมูลส่วนตัวของผู้ใช้นับล้านคนตกอยู่ในความเสี่ยง.
ช่องโหว่หลักเกิดจาก ‘โทเคนความปลอดภัย’ (security token) ที่อยู่ท้าย URL ของลิงก์ ซึ่งสามารถคาดเดาหรือไล่เรียงได้ง่าย. ผู้ไม่หวังดีสามารถลองเปลี่ยนตัวเลขหรือตัวอักษรในโทเคนเหล่านั้น เช่น จาก ‘123’ เป็น ‘124’ หรือ ‘ABC’ เป็น ‘ABD’ เพื่อเข้าถึงบัญชีของผู้อื่นได้.
จากการทดสอบ นักวิจัยสามารถเข้าถึงข้อมูลส่วนบุคคลภายในบัญชีเหล่านั้นได้จริง เช่น ใบสมัครประกันภัยที่ยังกรอกไม่เสร็จ ทำให้ผู้ใช้งานเสี่ยงต่อการถูกหลอกลวง การโจรกรรมข้อมูลส่วนตัว และอาชญากรรมไซเบอร์อื่นๆ อย่างร้ายแรง.
🏷️ หมวดหมู่: Biz & IT, Policy, Security, authentication links, privacy, security, sms messages
🔗 อ่านบทความฉบับเต็ม: Arstechnica
