Reddit, một trong những diễn đàn lớn nhất thế giới vừa công bố họ đã bị hacker xâm nhập. Nếu chỉ xem xét vấn đề hacker, nó có vẻ không quá nghiêm trọng, nhưng khi xem xét chuyện an ninh, vụ hack này tiết lộ một vấn đề đáng báo động: các giải pháp bảo mật 2 lớp thông qua tin nhắn SMS không hề an toàn.
Bảo mật 2 lớp: mật khẩu phụ được gửi qua tin nhắn không hề an toàn.Trong bài đăng của mình, đội ngũ quản trị Reddit cho biết vụ hack diễn ra trong khoảng thời gian từ 14 đến 18/6, khi hacker xâm nhập được vào tài khoản của một số nhân viên trên các nhà cung cấp dịch vụ đám mây và mã nguồn của họ. Những gì bị lộ bao gồm một số dữ liệu nội bộ, cộng thêm địa chỉ email và mật khẩu của một số người dùng.
Tất cả những tài khoản nhân viên bị lộ đều được bảo vệ bằng hệ thống bảo mật 2 lớp qua tin nhắn, nhưng biện pháp này hoàn toàn vô dụng trong việc ngăn cản hacker.
Theo Reddit, kẻ gian đã chặn được các tin nhắn chứa mật khẩu thứ 2 và dùng nó để đăng nhập mà không bị phát hiện. “Chúng tôi biết được rằng xác minh đăng nhập qua SMS không hề an toàn như hi vọng. Chúng tôi chỉ ra điều này để khuyến khích mọi người chuyển sang sử dụng bảo mật hai lớp bằng token.”
Bài viết của Reddit về vụ việc.Reddit không cho biết cách kẻ gian đã chặn được mật khẩu gửi qua tin nhắn như thế nào, dù cho biết điện thoại của những người có tài khoản bị hack không hề bị tấn công. Dù vậy, vẫn có khá nhiều cách phổ biến để chặn mật khẩu, chẳng hạn đánh lừa nhà cung cấp dịch vụ gửi mật khẩu đến SIM của kẻ gian (gọi là SIM-swap) hay giả danh khách hàng để yêu cầu chuyển số điện thoại sang một nhà cung cấp dịch vụ khác (port-out).
Có hai cách an toàn hơn để thay thế bảo mật hai lớp qua tin nhắn: ứng dụng và chìa khóa (token). Có khá nhiều ứng dụng như Google Authenticator hay Authy, với khả năng tạo ra một mật khẩu dùng một lần mà bạn phải nhập bên cạnh mật khẩu chính. Cách này an toàn hơn tin nhắn bởi kẻ gian cũng sẽ phải đánh cắp cả điện thoại của bạn và mở khóa nó, hoặc cài phần mềm gián điệp để chiếm quyền điều khiển máy.
Google Authenticator, một trong những ứng dụng bảo mật 2 lớp được ưa chuộng nhất.Nếu sử dụng chìa khóa (token), bạn có thể yên tâm là tài khoản của mình hoàn toàn an toàn và việc đăng nhập chỉ đơn giản là cắm token vào máy và bấm một nút. Bạn cần mua một thiết bị có giao tiếp USB – rất nhiều công ty sản xuất loại này, chẳng hạn Yubico. Gần đây, Google cho biết 85.000 nhân viên của họ đều đang sử dụng token và chưa từng bị lừa đảo hay mất tài khoản trong hơn 1 năm qua.
FBI công bố danh sách 36 hacker khét tiếng bị truy nã toàn cầu, có kẻ bị treo giải tới 3 triệu USD
