អ្នកជំនាញសន្តិសុខបានណែនាំមិនឱ្យប្រើសារ SMS Messages សម្រាប់កូដផ្ទៀងផ្ទាត់ពីរជាន់ (Two-Factor Authentication) នោះទេ ដោយសារតែភាពងាយរងគ្រោះរបស់វា អាចបណ្តាលឱ្យមានការស្ទាក់ចាប់ ឬការព្យាយាមសម្របសម្រួលដើម្បីគ្រប់គ្រង ។ ថ្មីៗនេះ អ្នកស្រាវជ្រាវសុវត្ថិភាពបានរកឃើញទិន្នន័យគ្មានសុវត្ថិភាព (Unsecured Database) នៅលើអ៊ីនធឺណិតដែលមានផ្ទុកកូដរាប់លាន ដែលអាចងាយនឹងត្រូវបានដំណើរការដោយអ្នករាល់គ្នា (Anyone)។
ទិន្នន័យ SMS Database សំខាន់ៗត្រូវបានទុកនៅលើអនឡាញដោយគ្មានការការពារ៖ អ្នកស្រាវជ្រាវសន្តិសុខ Anurag Sen បានរកឃើញថា ទិន្នន័យផ្ទៃក្នុង (Internal Database) ត្រូវបានទុកចោលដោយគ្មានការការពារ និងគ្មានលេខសម្ងាត់ បើទោះជាកំពុងតែដំណើរការដោយអ៊ីនធឺណិតក្តី (Internet-Facing)។ អ្នកដែលដឹងពី Database’s IP Address អាចប្រើទិន្នន័យទាំងនោះបានដោយងាយតាមរយៈកម្មវិធី Bog-Standard Web Browser។ បើទោះជា វាមិនច្បាស់ថានរណាជាម្ចាស់ទិន្នន័យ (Exposed Database) ទាំងនោះក្តី ប៉ុន្តែអ្នករាយការណ៍នៅក្រុមហ៊ុន TechCrunch បានថ្លែងថា ប្រហែលជាក្រុមហ៊ុន YX International ជាក្រុមហ៊ុនអាស៊ីដែលផ្តល់សេវា SMS Text Message Routing និងសេវាផ្សេងទៀត។ ក្រុមហ៊ុន YX International បានធានាសុវត្ថិភាពដល់ទិន្នន័យ (Database) បន្ទាប់ពីក្រុមហ៊ុន TechCrunch បានទាក់ទងទៅក្រុមហ៊ុន។
នៅក្នុងមួយថ្ងៃៗមានសារជាច្រើនរហូតដល់ទៅ ៥លានសារ SMS Messages ក្រុមហ៊ុន YX International Database គឺជាកន្លែងផ្ទុកព័ត៌មានដ៏មានតម្លៃ។ ព័ត៌មានរួមមានលេខសម្ងាត់ Reset Links និងកូដ 2FA សម្រាប់ក្រុមហ៊ុនដូចជា Google, WhatsApp, Facebook និង TikTok។ ខ្ញុំបានទាក់ទងទៅក្រុមហ៊ុន YX International, Google, Meta និង TikTok ដើម្បីធ្វើបទសម្ភាសន៍។ ខ្ញុំបាននិយាយជាមួយអ្នកស្រាវជ្រាវដែលបានរកឃើញទិន្នន័យ (Database) លោក Anurag Sen គាត់បានប្រាប់ខ្ញុំថា ខ្ញុំបានរកឃើញទិន្នន័យទាំងនេះនៅពេលដែលខ្ញុំត្រួតពិនិត្យតាមទម្លាប់ ។ ជាងនេះ Sen បានបន្តថា ខ្ញុំធ្វើបែបនេះដើម្បីត្រួតពិនិត្យទិន្នន័យនៅលើក្លោដ (Cloud-Based Database) អស់រយៈពេល ៥ឆ្នាំមកហើយ។ ក្រុមហ៊ុនជាច្រើនកំពុងតែផ្លាស់ប្តូរ Production Servers របស់ពួកគេទៅកាន់ក្លោដ ប៉ុន្តែមូលដ្ឋាននៃការផ្ទៀងផ្ទាត់ និងការអ៊ីនគ្រីបមិនត្រូវបានទុកដាក់ត្រឹមត្រូវទេ (Placed)។ ទិន្នន័យត្រូវបានបង្ហាញ (Exposed Database) លោក Sen បានបន្ថែមថា វិធីសាស្រ្តរក្សាទុក (Store) និងដំណើរការ (Process) 2FA គួរតែរឹងមាំ និងមានសុវត្ថិភាពជាងនេះ។
តើអ្នកប្រើ Google, WhatsApp និង TikTok មានមូលហេតុដែលត្រូវព្រួយបារម្ភទេ? ជាមួយនឹងការលុកចូលកាលពីខែកក្កដា ឆ្នាំ២០២៣ កង្វះខាតលេខសម្ងាត់ដើម្បីការពារទិន្នន័យ (Database) ជាបញ្ហាគួរឱ្យព្រួយបារម្ភ ថាតើវាមានបញ្ហាផ្នែកសុវត្ថិភាពដែរឬទេ? ចំពោះទស្សនៈវិស័យរបស់ 2FA Codes ខ្ញុំមិនគួរនិយាយច្រើនទេ។ ក្រៅពីនោះ កូដបែបនេះផុតសុពលភាពលឿន ហើយហេគឃ័រត្រូវពិនិត្យទាំងការបន្ថែមលើទិន្នន័យ (Additional to Database) និងសកម្មភាពរបស់គោលដៅ នៅក្នុងរឿងនេះ គឺមិនអាចទៅរួចទេ។
តើនោះមានន័យថា លោកអ្នកមិនគួរប្រើ SMS សម្រាប់កូដសុវត្ថិភាព 2FA ទេឬ? លោក Jake Moore ទីប្រឹក្សាសន្តិសុខសកលនៅក្រុមហ៊ុន ESET បានលើកឡើងថា លេខសម្ងាត់តែមួយលើក (One Time Password) តាមរយៈសារ SMS គឺជាជម្រើសដ៏មានសុវត្ថិភាពជាជាងការពឹងផ្អែកទៅលើលេខសម្ងាត់តែមួយមុខនោះ ប៉ុន្តែនៅពេលដែលការគំរាមកំហែងមានច្រើនស្រទាប់នោះ (Multi Layered) គណនីរបស់លោកអ្នកក៏ត្រូវតែមានការការពារច្រើនស្រទាប់ដូចគ្នា ដើម្បីសុវត្ថិភាព។ Passkeys កម្មវិធីផ្ទៀងផ្ទាត់ និងសោរសុវត្ថិភាពខាងក្រៅ (Physical Security Keys) ទាំងអស់នេះផ្តល់នូវការការពារកាន់តែល្អឡើង។ ដូច្នេះបច្ចុប្បន្ននេះ ការកំណត់សុវត្ថិភាពកាន់តែមានភាពងាយស្រួល បើយោងតាមលោក Moore លោកអ្នកគ្រាន់តែពឹងលើលេខសម្ងាត់ ឬប្រើសារ SMS 2FA Codes ដើម្បីផ្ទៀងផ្ទាត់។ ទោះជាយ៉ាងណា អ្នកប្រើមិនត្រូវបារម្ភពី 2FA Codes ពាក់ព័ន្ធនឹងការកំណត់រចនាសម្ព័ន្ធខុស និងមិនបានការពារទិន្នន័យនោះទេ។ ប្រសិនបើមានព័ត៌មានដូចជា កូដសារ (Message Codes) ត្រូវបានធ្វើការព្យាយាមដើម្បីគ្រប់គ្រងនោះវាគ្រាន់តែជាការដាក់ទម្ងន់ទៅលើការប្រឆាំងនឹងការប្រើប្រាស់សារ SMS ប៉ុណ្ណោះ។ សារអត្ថបទ (Text Message) ប្រើបច្ចេកវិទ្យាហួសសម័យហើយ យល់ល្អគួរតែទទួលយកការការពារចុងក្រោយសម្រាប់គណនីរបស់អ្នក។ ប៉ុន្តែនៅពេលការផ្ញើសារ SMS មានភាពងាយស្រួល និងសុវត្ថិភាព វាគ្មានអ្វីប្រសើរជាងនេះនោះទេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែមីនា ឆ្នាំ២០២៤
