SUSE by Ingram

นักวิจัยพบช่องโหว่ในการหาเงินจากระบบ Two-Factor Authentication ของ Facebook, Google, Microsoft

บริการ Cloud ชั้นนำโดยทั่วไปนั้นมักจะมีระบบ Two-Factor Authentication ที่สามารถส่งข้อความยืนยันต่างๆ ผ่านทาง SMS ได้ แต่บางบริการนั้นก็เปิดให้มีการโทรเข้าไปตรวจสอบด้วยระบบอัตโนมัติแทน และนั่นก็เป็นช่องโหว่ให้ผู้โจมตีสามารถนำเบอร์โทรศัพท์ที่เป็น Premium Rate หรือผู้ที่โทรเข้าไปต้องจ่ายค่าบริการในอัตราพิเศษ สร้างเป็นรายได้ให้แก่ผู้โจมตีได้ (คล้ายๆ กับระบบ 1900 บ้านเราครับ)

Credit: ShutterStock.com
Credit: ShutterStock.com

ในงานวิจัยนี้ Arne Swinnen ที่ปรึกษาด้านความมั่นคงปลอดภัยชาวเบลเยี่ยม ได้ทดลองเปิดบริการ Premium Rate Number ในอังกฤษที่สามารถสร้างรายรับได้ประมาณ 1 ปอนด์จากการโทรทุกๆ 17 นาที หรือราวๆ 46.3 บาท และทำการศึกษาขั้นตอนการทำงานของ Instagram เพื่อให้ทาง Instagram ทำการโทรหาเบอร์นี้หลังจากที่มีการส่ง Security Code มาทาง SMS มาแล้วไม่มีการตอบรับ ซึ่งทาง Facebook ที่เป็นเจ้าของ Instagram ทราบถึงประเด็นนี้ก็ออกมาโต้ตอบว่านี่ไม่ใช่ช่องโหว่ แต่เป็นความตั้งใจให้ระบบทำงานแบบนี้อยู่แล้ว และก็ทำการปรับ Rate Limit ให้กับการโทรพร้อมให้รางวัล Swinnen ไป 2,000 เหรียญหรือราวๆ 70,000 บาท

หลังจากนั้นในเดือนกุมภาพันธ์ที่ผ่านมา Swinnen ก็พบช่องโหว่คล้ายๆ กันใน Google ที่ขั้นตอนยุ่งยากกว่าเดิมในการโจมตี แต่ก็ทำให้สามารถขโมยเงินออกมาจากระบบได้ถึง 12 ยูโรต่อวัน หรือราวๆ 464.4 บาทต่อ Google Account ซึ่ง Google ก็ออกมาโต้ตอบว่าได้พยายามป้องกันอย่างดีที่สุดแล้ว แต่ปัญหานี้เป็นปัญหาที่เกิดจากระบบโทรคมนาคมพื้นฐาน และไม่สามารถอุดช่องโหว่ได้อย่างสมบูรณ์

ส่วน Microsoft Office 365 เองนั้นก็สามารถถูกโจมตีด้วยวิธีการเดียวกันผ่านการทำ Trial Registration ได้ โดย Swinnen ค้นพบสองวิธีการในการ Bypass ระบบ Call Rate Limit และทำให้เขาสามารถหาเงินได้อย่างรวดเร็วด้วยอัตรา 1 ยูโรหรือราวๆ 38.7 บาทภายในเวลาไม่ถึง 1 นาทีเท่านั้น และ Microsoft ก็ออกมาโต้ตอบว่าจริงๆ แล้วคนที่ต้องจ่ายเงินในส่วนนี้คือ Third Party ที่ Microsoft ใช้บริการอยู่ แต่ก็ยังให้เงินค่าตอบแทนแก่ Swinnen 500 เหรียญหรือราวๆ 17,500 บาทจากการแจ้งช่องโหว่นี้ และพยายามจะแก้ไขช่องโหว่นี้ต่อไปให้ได้

แต่ละองค์กรเองถ้ามีบริการลักษณะนี้ ก็ต้องระวังการโจมตีเพื่อขโมยเงินแบบนี้ไปนะครับ การโจมตีแบบนี้เคยแพร่หลายมาแล้วในเหล่าระบบ IP Telephony ขององค์กรมาแล้ว

ที่มา: http://www.networkworld.com/article/3096809/attackers-could-steal-millions-through-online-phone-verification-systems.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

DuckDuckGo ผู้ให้บริการ Search Engine ที่เน้นเรื่อง Privacy มีผู้ใช้งานต่อวันเกิน 100 ล้านครั้งแล้ว

DuckDuckGo ผู้ให้บริการระบบ Search Engine ที่มีการรักษาความเป็นส่วนตัวของผู้ใช้งานอย่างเข้มงวด ได้เผยถึงสถิติผู้ใช้งานทำการค้นหาข้อมูลต่อวันเกิน 100 ล้านครั้งแล้ว

Cisco เผยแผนเข้าซื้อกิจการ Dashbase เสริมความสามารถ AppDynamics ติดตามวิเคราะห์ข้อมูล Real-Time Communication

Cisco ได้ออกมาเผยถึงเจตนาในการเข้าซื้อกิจการของ Dashbase ผู้พัฒนาโซลูชันวิเคราะห์ทราฟฟิกสำหรับระบบ Voice, Video และ Chat โดยเฉพาะ เพื่อนำความสามารถของ Dashbase ไปเสริมให้กับ Cisco AppDynamics โดยเฉพาะ