Perusahaan yang Menerapkan Login Akun via SMS, Tanggung Jawab atas Serangan SIM Swap Mencuat

 (keydiscussions.com)
1 poin oleh GN⁺ 2024-02-07 | 1 komentar | Bagikan ke WhatsApp

Tanggung jawab perusahaan yang mengadopsi login akun berbasis SMS

  • Alasan serangan SIM swap terus berlanjut adalah karena banyak perusahaan seperti Apple, Dropbox, PayPal, Block, dan Google mengadopsi ide buruk menggunakan SMS untuk reset kata sandi dan login akun.
  • Serangan SIM swap terjadi ketika pelaku meminta operator seluler memindahkan nomor telepon korban ke ponsel miliknya, lalu menggunakan SMS yang diterima untuk mendapatkan informasi login akun dan mencuri uang serta data sensitif.
  • Cara mencegah serangan SIM swap itu sederhana: perusahaan tidak boleh mengizinkan login atau reset kata sandi lewat SMS, dan jika tetap menawarkan SMS 2FA, mereka juga harus menyediakan opsi yang lebih aman seperti Authy atau Google Authenticator.

Masalah pada autentikasi berbasis SMS

  • Autentikasi melalui SMS kerap ditawarkan sebagai metode umum untuk keamanan pelanggan, tetapi meski lebih praktis dibanding metode yang lebih aman seperti autentikasi melalui email, pendekatan ini lemah dari sisi keamanan.
  • Mengirim pesan ke pelanggan lewat SMS sama seperti mengirim kartu pos yang tidak terenkripsi; seperti pada serangan SIM swap, siapa pun bisa membuka kotak surat dan menyadap pesannya.
  • SMS bukan pilihan terbaik untuk reset kata sandi, dan menggunakan Authy atau email adalah opsi 2FA yang lebih baik.

Sisi negatif dari adopsi teknologi

  • Apple, Google, dan lainnya memperkuat peran SMS dengan memperkenalkan fitur yang mendukung reset kata sandi dan login akun melalui SMS.
  • Penyedia cloud mendapatkan keuntungan dari penyediaan kode SMS, yang pada dasarnya berarti menjual teknologi yang cacat secara mendasar sebagai solusi yang aman.
  • Layanan keuangan seperti Wells Fargo, Cash App, Robinhood, Schwab, PayPal, dan Bank of America juga menyediakan fitur reset/login akun melalui SMS.

Kesalahpahaman pelanggan

  • Pelanggan tidak memahami sifat cacat dari reset via SMS, dan lebih memilih kenyamanan dibanding kode login lewat reset email atau aplikasi 2FA seperti Authy.
  • Perusahaan teknologi telah gagal melindungi pelanggan, dan ada harapan bahwa gugatan hukum serta legislasi akan mengubah keadaan.

Opini GN⁺

  • Autentikasi berbasis SMS, meski nyaman, memiliki celah keamanan, sehingga perusahaan harus beralih ke metode autentikasi yang lebih aman.
  • Serangan SIM swap terus terjadi meskipun sebenarnya bisa dicegah, dan hal ini berasal dari adopsi teknologi yang keliru oleh perusahaan.
  • Tulisan ini menyampaikan pesan penting bahwa perusahaan teknologi harus memprioritaskan keamanan pelanggan, meninggalkan sistem autentikasi berbasis SMS, dan mengadopsi metode autentikasi yang lebih aman, sehingga memberi wawasan bagi pengguna dan profesional industri.

Bacaan terkait

1 komentar

 
GN⁺ 2024-02-07
Pendapat Hacker News

  • Keluhan tentang ketidaknyamanan kode verifikasi SMS

    • Sebelumnya, kode TOTP diisi otomatis oleh 1Password, tetapi kini karena verifikasi SMS pengguna harus membayar biaya roaming internasional atau menyiapkan penerusan SMS.
    • Ada pendapat bahwa alih-alih memberikan nomor telepon ke semua perusahaan, aplikasi autentikasi seharusnya diintegrasikan dengan SMS.
    • Menghubungkan nomor telepon ke akun itu buruk karena alasan berikut: ponsel hilang/dicuri, pindah negara, serangan SMS, penggunaan ulang nomor telepon, dan keharusan mempertahankan paket telepon berbayar.

  • Pengalaman terkait masalah SMS Payoneer

    • Ada masalah verifikasi SMS Payoneer yang menimpa pengguna Movistar di Argentina, tetapi tidak mendapat perhatian di Hacker News.
    • Penyerang meretas gateway SMS yang mengirim 2FA ke pelanggan Movistar, lalu mengetahui email pengguna Payoneer, mengubah kata sandi, dan mentransfer uang.
    • Facebook, Twitter, dan lainnya juga menggunakan gateway SMS yang sama untuk menekan biaya, jadi perlu berhati-hati.

  • Masalah login saat nomor telepon hilang

    • Jika kehilangan nomor telepon, bisa muncul masalah tidak dapat masuk ke akun Google.

  • Perbandingan antara ketidaknyamanan verifikasi SMS dan kenyamanan TOTP

    • Verifikasi SMS merepotkan karena harus mencari ponsel, sedangkan TOTP lebih nyaman karena kode bisa disimpan di KeePassXC.

  • Pendapat yang mendukung UX verifikasi SMS

    • Login dan pemulihan akun lewat SMS memberikan pengalaman pengguna yang baik, dan operator seluler seharusnya meningkatkan keamanan.

  • Keluhan tentang pembatasan penggunaan nomor Google Voice

    • Beberapa perusahaan mengklaim nomor Google Voice tidak bisa digunakan untuk verifikasi atau menganggapnya sebagai nomor telepon yang tidak valid.

  • Kebutuhan verifikasi SMS dan peran operator seluler

    • Meminta pengguna umum memasang aplikasi adalah beban besar, dan SMS adalah satu-satunya solusi praktis bagi pengguna umum.
    • Ada pendapat bahwa SIM swapping harus dibuat lebih sulit.

  • Tujuan verifikasi SMS dan posisi perusahaan

    • Verifikasi SMS efektif untuk dua tujuan: membuktikan kepemilikan akun dan membatasi pembuatan akun oleh pengguna yang tidak sah.
    • Perusahaan tidak memberikan solusi keamanan terbaik karena mereka mengalihdayakan proses KYC (Know Your Customer) ke perusahaan telepon seluler.

  • Kritik terhadap verifikasi SMS dan masalah pengalihan tanggung jawab kepada pelaku kriminal

    • Para pengkritik mengecam perusahaan yang memakai verifikasi SMS, tetapi sebenarnya pihak yang harus bertanggung jawab adalah pelaku kriminal.
    • Tanggung jawab atas serangan SIM swapping ada pada pelaku kriminal.