Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้
แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง
ทาง Retool เรียกร้องให้กูเกิลปรับการออกแบบใหม่ ลดการสนับสนุนให้คนซิงก์ OTP ขึ้นคลาวด์ หรืออย่างน้อยก็เปิดตัวเลือกให้ผู้ดูแลของบัญชีองค์กรสามารถปิดฟีเจอร์นี้ในองค์กรได้
ที่มา - Retool
Topics:
Security
Authentication
อ่านต่อ...
แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง
ทาง Retool เรียกร้องให้กูเกิลปรับการออกแบบใหม่ ลดการสนับสนุนให้คนซิงก์ OTP ขึ้นคลาวด์ หรืออย่างน้อยก็เปิดตัวเลือกให้ผู้ดูแลของบัญชีองค์กรสามารถปิดฟีเจอร์นี้ในองค์กรได้
ที่มา - Retool
Topics:
Security
Authentication
อ่านต่อ...
ไฟล์แนบ
