Sebuah insiden keamanan besar telah mengungkap kerentanan sistem autentikasi dua faktor berbasis SMS, dengan lebih dari satu juta kode autentikasi menjadi dapat diakses oleh sebuah perusahaan telekomunikasi Swiss yang kontroversial selama Juni 2023. Paparan ini menyoroti kelemahan mendasar dalam infrastruktur keamanan SMS dan menimbulkan pertanyaan serius tentang keamanan metode autentikasi berbasis teks yang digunakan oleh jutaan pengguna di seluruh dunia.
 |
|---|
| Kerentanan sistem autentikasi dua faktor berbasis SMS menyoroti kebutuhan mendesak akan keamanan dalam komunikasi digital |
Skala Paparan
Laporan investigasi oleh Bloomberg dan Lighthouse Reports, berdasarkan data dari seorang whistleblower industri, mengungkap bahwa lebih dari satu juta pesan SMS yang berisi kode autentikasi dua faktor melewati jaringan Fink Telecom Services. Pesan-pesan ini berasal dari perusahaan teknologi besar termasuk Google, Meta, Amazon, Signal, dan WhatsApp, serta aplikasi populer seperti Tinder dan Snapchat, bursa mata uang kripto Binance, dan beberapa bank Eropa. Kode-kode tersebut ditujukan untuk pengguna di lebih dari 100 negara, menunjukkan cakupan global dari kerentanan keamanan ini.
Perusahaan dan Layanan yang Terdampak:
- Raksasa Teknologi: Google , Meta , Amazon
- Media Sosial/Aplikasi Kencan: Tinder , Snapchat
- Aplikasi Pesan: Signal , WhatsApp
- Mata Uang Kripto: Bursa Binance
- Layanan Keuangan: Beberapa bank Eropa
- Jangkauan Geografis: Pengguna di 100+ negara
Perantara yang Kontroversial
Fink Telecom Services beroperasi sebagai perantara dalam rantai pengiriman SMS, namun perusahaan ini membawa beban yang signifikan yang membuat paparan ini sangat mengkhawatirkan. Perusahaan Swiss ini dan pendirinya memiliki koneksi terdokumentasi dengan agen-agen pengawasan pemerintah dan telah dituduh oleh peneliti keamanan siber terlibat dalam infiltrasi akun online pribadi. Latar belakang ini mengubah apa yang mungkin sebaliknya hanya kelalaian teknis menjadi mimpi buruk potensial keamanan nasional dan privasi bagi pengguna yang terdampak.
Bagaimana Routing SMS Menciptakan Kerentanan
Paparan terjadi karena banyak perusahaan mengalihdayakan pengiriman SMS untuk mengurangi biaya dan menyederhanakan operasi internasional. Perantara-perantara ini mendapatkan akses ke global title - alamat jaringan yang memungkinkan komunikasi antara operator di berbagai negara, membuat seolah-olah pesan berasal dari negara asal penerima. Fink Telecom memanfaatkan global title dari Namibia, Chechnya, Inggris, dan Swiss untuk memfasilitasi routing pesan internasional ini.
Lokasi Global Title Fink Telecom:
- Switzerland (negara asal)
- United Kingdom
- Namibia
- Chechnya
- Digunakan untuk memfasilitasi routing SMS internasional dan mengurangi biaya pengiriman
Respons Industri dan Penyangkalan
Ketika dikonfrontasi tentang paparan data, CEO Fink Telecom Andreas Fink menyatakan bahwa perusahaannya hanya menyediakan layanan infrastruktur tanpa menganalisis atau mengganggu lalu lintas yang ditransmisikan. Beberapa perusahaan besar merespons dengan menjauhkan diri dari Fink Telecom, dengan Google, Meta, Signal, dan Binance menyatakan mereka tidak bekerja langsung dengan perusahaan Swiss tersebut. Google mengumumkan sedang bertransisi menjauh dari autentikasi SMS sepenuhnya, sementara Meta dilaporkan menginstruksikan mitra-mitranya untuk menghindari keterlibatan dengan Fink Telecom.
Tindakan Regulatori dan Kekhawatiran Industri
Insiden ini telah mendorong respons regulatori, dengan Ofcom Inggris melarang penyewaan global title untuk operator Inggris pada April 2024, dengan alasan ancaman terhadap pengguna ponsel. Tindakan regulatori ini mengakui risiko keamanan yang melekat dalam infrastruktur routing SMS saat ini dan menunjukkan bahwa otoritas pemerintah menganggap serius kerentanan-kerentanan ini.
Alternatif Aman untuk Autentikasi SMS
Para ahli keamanan telah lama mengadvokasi untuk meninggalkan autentikasi dua faktor berbasis SMS demi metode yang lebih aman. Kunci keamanan fisik dan aplikasi autentikator seperti Microsoft Authenticator atau Google Authenticator menghasilkan kode berbasis waktu langsung di perangkat pengguna, menghilangkan kebutuhan untuk transmisi SMS yang tidak terenkripsi. Metode-metode ini menyegarkan kode setiap 30 detik dan tidak bergantung pada infrastruktur telekomunikasi yang berpotensi dikompromikan.
Perbandingan Alternatif 2FA yang Aman:
| Metode | Tingkat Keamanan | Kemudahan | Kerentanan terhadap Intersepsi |
|---|---|---|---|
| Kode SMS | Rendah | Tinggi | Tinggi - Tidak terenkripsi, routing pihak ketiga |
| Aplikasi Authenticator | Tinggi | Sedang | Rendah - Dibuat secara lokal, refresh 30 detik |
| Kunci Keamanan Fisik | Sangat Tinggi | Sedang | Sangat Rendah - Berbasis hardware, tanpa transmisi |
| Biometrik/Passkey | Sangat Tinggi | Tinggi | Sangat Rendah - Tersimpan di perangkat, standar WebAuthn |
Jalan ke Depan
Paparan ini berfungsi sebagai peringatan bagi perusahaan maupun pengguna tentang ketidakamanan mendasar dari autentikasi berbasis SMS. Meskipun SMS tetap nyaman dan didukung secara luas, kurangnya enkripsi dan ketergantungan pada perantara pihak ketiga menciptakan banyak titik kegagalan. Insiden ini menggarisbawahi kebutuhan mendesak bagi organisasi untuk menerapkan metode autentikasi yang lebih kuat dan bagi pengguna untuk secara aktif memilih opsi keamanan yang lebih kuat ketika tersedia.