- CCC menemukan bahwa melalui paparan IdentifyMobile, SMS kata sandi sekali pakai dapat dilihat secara real time, dalam kasus kebocoran lebih dari 198 juta SMS dari lebih dari 200 perusahaan
- 2FA-SMS adalah lapisan tambahan untuk mencegah penyalahgunaan ketika hanya kata sandi yang dicuri, tetapi keamanan nyatanya juga sangat bergantung pada tingkat pengelolaan penyedia pengiriman SMS
- IdentifyMobile mengekspos kode verifikasi, nomor telepon penerima, nama pengirim, dan sebagian informasi akun ke internet, dan dapat diakses hanya dengan menebak subdomain bernama
idmdatastore - Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, dan DHL termasuk yang terdampak, dan hanya dengan feed real time saja sudah dimungkinkan pembajakan nomor WhatsApp atau percobaan login layanan dan transaksi keuangan
- Autentikasi dua faktor via SMS memang lebih baik daripada hanya memakai kata sandi, tetapi metode seperti kata sandi sekali pakai berbasis aplikasi atau token hardware yang lebih sedikit bergantung pada jaringan seluler dan operator SMS lebih aman
Kelemahan 2FA-SMS yang terungkap dari paparan IdentifyMobile
- 2FA-SMS mengharuskan pengguna memasukkan kata sandi yang mereka ketahui dan kode SMS yang membuktikan akses ke nomor telepon
- Digunakan sebagai lapisan tambahan untuk mencegah pengambilalihan akun ketika hanya kata sandi yang bocor
- SMS dapat berisi kode yang hanya berlaku singkat, seperti kode verifikasi WhatsApp atau TAN untuk transfer bank
- Autentikasi berbasis SMS sudah lama terekspos ke berbagai jalur serangan
- SMS dapat dicegat melalui SIM swapping
- Kerentanan SS7 pada jaringan seluler dapat disalahgunakan
- Pengguna dapat ditipu lewat phishing agar menyerahkan kata sandi sekali pakai secara langsung
- Sejak 2013, CCC telah merekomendasikan agar SMS tidak digunakan sebagai sarana autentikasi dua faktor
- Dalam kasus ini, penyerang bahkan tidak perlu menargetkan jaringan telekomunikasi atau pengguna secara langsung, karena penyedia pengiriman SMS bisa menjadi titik lemah dalam rantai autentikasi
- IdentifyMobile adalah penyedia yang mengirim SMS massal untuk berbagai perusahaan dan layanan
- Penyedia ini dapat mengakses isi SMS, dan isi tersebut memuat kode verifikasi
- CCC dapat mengakses data real time hanya dengan menebak subdomain
idmdatastore
Cakupan paparan dan risiko nyata
- Data yang terekspos bukan hanya isi SMS, tetapi juga nomor telepon penerima, nama pengirim, dan dalam beberapa kasus informasi akun lainnya
- Lebih dari 200 perusahaan terdampak, termasuk yang menyerahkan keamanan autentikasi kepada IdentifyMobile secara langsung maupun melalui penyedia layanan lain
- Google, Amazon, Facebook, Microsoft
- Telegram, Airbnb, FedEx, DHL
- Total lebih dari 198 juta SMS bocor
- Hanya dengan feed real time saja, berbagai skenario penyalahgunaan sudah dimungkinkan
- Pembajakan nomor WhatsApp
- Jika kata sandi diketahui, transaksi keuangan dapat dilakukan tanpa mengakses ponsel
- Jika kata sandi diketahui, login ke berbagai layanan dapat dilakukan
- Untuk penyalahgunaan nyata, umumnya kata sandi tetap diperlukan, tetapi data tersebut juga mencakup tautan 1-click login
- Pada sebagian perusahaan besar yang menjadi korban, cakupan yang ditangani IdentifyMobile terbatas pada layanan tertentu
- Kelalaian IdentifyMobile menempatkan perusahaan dan pelanggan pada risiko yang signifikan
- CCC tidak menyimpan data itu, tetapi kemungkinan pihak lain sempat mengaksesnya tidak bisa dikesampingkan
Metode autentikasi yang bisa dipilih sebagai pengganti SMS
- Jika tersedia, lebih aman menggunakan kata sandi sekali pakai yang dihasilkan aplikasi atau token hardware daripada SMS
- Metode ini tidak bergantung pada jaringan seluler
- Juga tidak bergantung pada penyedia pengiriman SMS seperti IdentifyMobile
- Meski begitu, autentikasi dua faktor tetap lebih baik daripada hanya menggunakan satu kata sandi
1 komentar
Pendapat Hacker News
Baru-baru ini seorang kenalan terkena phishing Google Ads. Penyerang membeli iklan untuk kata kunci seperti “BANKNAME login”, meniru halaman login bank dengan sangat rapi, dan di belakang layar sedang menjalankan serangan retransmisi
Saat ia memasukkan kode autentikasi dua langkah dari aplikasi ponsel, layar menolaknya dan meminta kode baru, tetapi sebenarnya kode kedua adalah kode persetujuan untuk menambahkan penerima “pay anyone” baru, lalu uang pun keluar lewat itu
Saya memang menganggap autentikasi dua langkah via SMS lemah secara protokol, tetapi dalam kasus ini, metode SMS bank yang mengirim pesan berbeda saat menambahkan penerima baru dibanding saat login mungkin justru lebih baik
Idealnya, jangan hanya memakai aplikasi pembuat token sederhana, melainkan membuat token per jenis transaksi, seperti token untuk login dan token untuk menambahkan penerima, serta memastikan keduanya tidak bisa saling menggantikan. Saya penasaran apakah ada bank yang menyediakan autentikasi dua langkah pada level seperti ini
Mungkin passkey, karena membangun koneksi fisik dengan perangkat keras lokal, bisa membuat masalah seperti ini menjadi tidak relevan. Sebagai catatan, korban akhirnya mendapatkan uangnya kembali
Jika ingin meningkatkan postur keamanan, memasang pemblokir iklan adalah salah satu cara terbaik. Untuk teman atau keluarga yang tidak terlalu paham teknologi, saya sangat menyarankan memasangkan uBlock Origin untuk mereka
Tampilan aplikasi Australia bisa dilihat di sini, dan aplikasi AS serta Inggris juga mirip: https://www.hsbc.com.au/content/dam/hsbc/au/images/ways-to-b...
HSBC sudah menyediakan ini selama bertahun-tahun, jadi saya tidak begitu paham mengapa ini belum menjadi standar atau belum diadopsi bank-bank AS lainnya
Jadi saya tidak mengerti mengapa mereka begitu ketat untuk iklan biasa, tetapi menjual iklan untuk halaman phishing yang menyamar sebagai bank dan menargetkan orang yang mencari bank tersebut
“Saat melakukan pencarian di internet, gunakan ekstensi pemblokir iklan. Sebagian besar peramban internet mengizinkan penambahan ekstensi, termasuk ekstensi pemblokir iklan. Pemblokir iklan seperti ini bisa dinyalakan dan dimatikan di dalam peramban, sehingga iklan di situs web tertentu dapat diizinkan sementara iklan di tempat lain diblokir.”
[0] https://www.ic3.gov/Media/Y2022/PSA221221
Sejak lama saya curiga perusahaan yang mewajibkan autentikasi dua langkah via SMS sebenarnya tidak sungguh-sungguh soal keamanan; mereka hanya menginginkan nomor telepon dan memakai autentikasi dua langkah sebagai teater keamanan untuk mendapatkannya
Selain itu, ini juga pengidentifikasi yang kita berikan langsung kepada setiap orang yang kita temui, jadi bisa dibilang ini terlihat seperti sistem yang buruk
Ini menghambat pembuatan akun baru untuk menghindari pemblokiran, dan memudahkan mengaitkan perilaku buruk yang muncul di beberapa akun
Saya rasa kontribusi spammer terhadap kemunduran internet masih diremehkan
Dukungan teknisnya juga lebih mudah
NIST sudah cukup lama secara eksplisit menyarankan untuk tidak memakai autentikasi dua langkah via SMS
NIST SP 800-63B §5.1.3.3
https://pages.nist.gov/800-63-3/sp800-63b.html#pstnOOB
Pelanggan: “Maksudnya aplikasi autentikasi dua langkah itu apa? Bukannya kodenya datang ke ponsel saya?”
Dukungan: “Benar, tetapi sekarang autentikasi dua langkah via SMS tidak lagi didukung.”
Pelanggan: “Tapi saat kodenya datang ke ponsel, tidak ada masalah.”
Dukungan: “Ya, tetapi NIST merekomendasikan untuk tidak menggunakan autentikasi dua langkah via SMS.”
Pelanggan: “NIST itu apa? Ini sangat menyebalkan. Saya perlu masuk ke akun saya.”
Sayangnya hampir semua bank memaksa kita memakai SMS. Sebab aplikasi bank menolak berjalan di ponsel yang di-root. Sungguh pencapaian keamanan yang hebat
Di negara saya, hampir semua bank mewajibkan autentikasi dua langkah berbasis aplikasi tanpa alternatif SMS
Jika tidak ingin membeli dan membawa ponsel terpisah, Anda hanya bisa memakai satu bank yang tidak mensyaratkan hal itu
Pada ponsel yang di-root, aplikasi lain berpotensi mengintip dan mencuri informasi perbankan
Rasanya cukup masuk akal jika aplikasi bank tidak berjalan di ponsel yang keamanannya sudah terganggu
Namun GrapheneOS tidak termasuk di sini, karena build resmi GrapheneOS tidak memiliki akses root
Tulisan ini mencampuradukkan dua masalah yang maknanya berbeda dari sisi keamanan
Tautan 1-click login memang patut dikhawatirkan, dan layanan seperti WhatsApp bisa diambil alih hanya dengan akses ke SMS
Namun kode autentikasi dua langkah relatif tidak terlalu mengkhawatirkan. Karena itu adalah faktor kedua, penyerang juga membutuhkan kata sandi
Dalam kasus seperti ini, saya melihat penggunaan SMS dan risiko penyadapannya dengan jauh lebih sedikit kecemasan
Di Inggris, tampaknya hampir semua transaksi perbankan online sekarang diverifikasi lewat SMS. Kelihatannya seperti diwajibkan oleh hukum, dan telah menggantikan sistem verifikasi sebelumnya yang memakai kartu bank + card reader + PIN
Cara lama bukan hanya lebih aman, tetapi juga tidak bergantung pada ponsel yang berfungsi normal dan mendapat sinyal
Saya berharap suatu hari nanti ini diakui sebagai kesalahan besar dan diperbaiki, tetapi saya tidak terlalu berharap
Saya setuju bahwa card reader berguna saat offline. Namun saya hampir tidak pernah ingat membawanya, jadi sering terhambat saat bepergian
Swedia sudah lama menyelesaikan masalah ini dengan BankID
https://en.wikipedia.org/wiki/BankID
Menakjubkan melihat apa yang bisa dicapai ketika lembaga publik dan swasta bekerja sama meski sedikit saja. Ini adalah satu-satunya cara untuk login dan autentikasi dua langkah pada layanan pemerintah dan sebagian besar bank, dan bekerja dengan baik
Sulit dipercaya bahwa tidak semua negara memiliki sistem seperti ini, apalagi seluruh UE belum memilikinya
Meski begitu, saya tidak akan menaruh ekspektasi terlalu tinggi
https://ec.europa.eu/digital-building-blocks/sites/display/E...
Pesan di bucket S3 tampaknya diperbarui setiap 5 menit: https://www.zeit.de/digital/datenschutz/2024-07/it-sicherhei...
Namun CCC keliru mendefinisikan ini sebagai masalah khusus 2FA-SMS. Yang terdampak bukan hanya Twilio Verify (API autentikasi dua langkah), tetapi semua SMS yang dikirim melalui penyedia ini
Ini lebih merupakan masalah keamanan vendor yang tidak melindungi penyimpanan data sensitif dengan benar, bukan masalah SMS itu sendiri
Jalur serangan khusus seperti ini sama sekali tidak ada pada teknologi-teknologi tersebut
Beberapa lembaga keuangan tempat saya bekerja mewajibkan autentikasi dua langkah via SMS dan tidak menyediakan opsi HOTP/TOTP. Bikin gila