Tags:
Node Thumbnail

Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้

แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง

ทาง Retool เรียกร้องให้กูเกิลปรับการออกแบบใหม่ ลดการสนับสนุนให้คนซิงก์ OTP ขึ้นคลาวด์ หรืออย่างน้อยก็เปิดตัวเลือกให้ผู้ดูแลของบัญชีองค์กรสามารถปิดฟีเจอร์นี้ในองค์กรได้

ที่มา - Retool

Get latest news from Blognone

Comments

By: nitpum
Contributor
on 21 September 2023 - 15:25 #1294672
nitpum's picture

จริงๆ OTP ก็ไม่ควรเก็บไว้ที่เดียวกับบัญชีหลักนะ ไม่งั้นจะกลายเป็น single point of failure


บล็อก: nitpum.com