Система двухфакторной аутентификации Twitter может стать инструментом хакеров

28.05.2013 | 10:34
Система двухфакторной аутентификации Twitter может стать инструментом хакеров
Специалисты по информационной безопасности из компании F-Secure говорят, что недавно введенная сетью Twitter система двухфакторной аутентификации содержит изъян, который может привести к тому, что доступ к пользовательскому блогу получат злоумышленники.

Напомним, что Twitter запустила систему двухфакторной аутентификации на прошлой неделе как ответ на участившиеся случаи взлома аккаунтов резонансных пользователей. Хакеры воруют или угадывают логины и пароли пользователей Twitter, поэтому соцсеть реализовала систему одноразовых паролей, которые получаются с SMS-сообщением на мобильный телефон владельца блога. Пользователи могут включить систему двухфакторной аутентификации или же не пользоваться ею, если нет такого желания или местные сотовые операторы ее не поддерживают.

Как говорит Шон Салливан, советник по ИТ-безопасности F-Secure, атакующие могут злоупотребить данным функционалом, чтобы получить несанкционированный доступ к тем аккаунтам пользователей, которые еще не включили поддержку двухфакторной аутентификации. Если атаку удастся совершить, то реальный владелец блога уже не сможет восстановить контроль над блогом простым сбросом пароля. Это становится возможным, ввиду того, что Twitter не использует дополнительных методов верификации для тех, кто неавторизованно завладел пользовательским блогом и включил на нем двухфакторную аутентификацию.

Когда возможность двухфакторной аутентификации включена (Account Security) в разделе управления аккаунтом, сайт отправляет тестовое сообщение на телефон. Пользователи просто нажимают "Да" (даже если они и не получили сообщения). Салливан говорит, что Twitter вместо этого нужно было бы отправлять ссылку с подтверждением по электронной почте, которая была указана в аккаунте и работает даже при подключении двухфакторной аутентификации.

В F-Secure полагают, что выявленный ими метод могут использовать такие организаторы атак, как Сирийская электронная армия и другие, для угона пользовательских Twitter-аккаунтов. Кроме того в компании говорят, что система двухфакторной аутентификации Twitter в ее нынешнем виде непригодна для некоторых групп пользователей, например для поставщиков новостей и компаний с распределенной географической организацией, где многие сотрудники имеют доступ к аккаунтам.

В Twitter пока никак не прокомментировали сообщение F-Secure.
Система двухфакторной аутентификации, Twitter, хакер
По материалам CyberSecurity.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код