Cảnh báo: Mã OTP gửi qua tin nhắn SMS vẫn có thể bị xâm phạm

Mã xác thực hai yếu tố (2FA) gửi qua tin nhắn SMS, một biện pháp bảo mật quen thuộc hàng ngày, đang bị đặt dưới tình trạng báo động đỏ. Một người tố giác trong ngành vừa tiết lộ một sự thật gây sốc, rằng các mã OTP này cực kỳ dễ bị chặn và theo dõi bởi các bên thứ ba mà bạn không hề hay biết.

Trang tin tức uy tín Bloomberg đã công bố thông tin chấn động sau khi nhận được bằng chứng từ người tố giác về một cơ sở dữ liệu chứa khoảng 1 triệu tin nhắn 2FA được gửi chỉ trong một tháng. Đáng sợ hơn, các tin nhắn này đến từ những "gã khổng lồ" công nghệ như Google, Meta (Facebook, WhatsApp), Amazon, Tinder, Signal... và tất cả đều đi qua một công ty viễn thông trung gian đáng ngờ ở Thụy Sĩ.

Sốc trước hàng triệu mã xác thực OTP qua SMS bị phơi bày trên mạng.

Điều này đã phơi bày một "mắt xích yếu" chết người trong hệ thống bảo mật mà hàng triệu người đang tin tưởng. Để tiết kiệm chi phí, các công ty lớn thường không tự gửi mã OTP mà thuê một bên thứ ba. Quy trình này tạo ra cơ hội cho các công ty trung gian có thể xem được nội dung tin nhắn, bao gồm cả mã OTP nhạy cảm của bạn. Về cơ bản, bạn không thể chắc chắn ai đã đọc được mã đó trước bạn.

Vụ việc này không còn là lý thuyết suông. Mới tháng trước, Valve, chủ sở hữu nền tảng game Steam, đã xác nhận tin tặc đã truy cập được vào hồ sơ 2FA qua SMS của hầu hết người dùng.

Vậy giải pháp là gì? Các chuyên gia bảo mật đồng loạt kêu gọi người dùng ngừng ngay việc sử dụng SMS làm phương thức xác thực chính. Thay vào đó, hãy chuyển sang các lựa chọn an toàn hơn nhiều như sử dụng ứng dụng xác thực chuyên dụng (ví dụ: Google Authenticator, Microsoft Authenticator) hoặc đầu tư vào khóa bảo mật vật lý (USB, NFC). Các phương pháp này tạo mã ngay trên thiết bị của bạn, loại bỏ hoàn toàn khâu trung gian SMS đầy rủi ro. Đã đến lúc phải hành động để bảo vệ tài khoản của chính mình.

An An - TechSpot