Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้
แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่ เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง
ทาง Retool เรียกร้องให้กูเกิลปรับการออกแบบใหม่ ลดการสนับสนุนให้คนซิงก์ OTP ขึ้นคลาวด์ หรืออย่างน้อยก็เปิดตัวเลือกให้ผู้ดูแลของบัญชีองค์กรสามารถปิดฟีเจอร์นี้ในองค์กรได้
ที่มา - Retool
Comments
จริงๆ OTP ก็ไม่ควรเก็บไว้ที่เดียวกับบัญชีหลักนะ ไม่งั้นจะกลายเป็น single point of failure
บล็อก: nitpum.com