Система двухфакторной аутентификации Twitter может стать инструментом хакеров

28/05/2013 09:21

Специалисты по информационной безопасности из компании F-Secure говорят, что недавно введенная сетью Twitter система двухфакторной аутентификации содержит изъян, который может привести к тому, что доступ к пользовательскому блогу получат злоумышленники. Напомним, что Twitter запустила систему двухфакторной аутентификации на прошлой неделе как ответ на участившиеся случаи взлома аккаунтов резонансных пользователей. Хакеры воруют или угадывают логины и пароли пользователей Twitter, поэтому соцсеть реализовала систему одноразовых паролей, которые получаются с SMS-сообщением на мобильный телефон владельца блога. Пользователи могут включить систему двухфакторной аутентификации или же не пользоваться ею, если нет такого желания или местные сотовые операторы ее не поддерживают. Как говорит Шон Салливан, советник по ИТ-безопасности F-Secure, атакующие могут злоупотребить данным функционалом, чтобы получить несанкционированный доступ к тем аккаунтам пользователей, которые еще не включили поддержку двухфакторной аутентификации. Если атаку удастся совершить, то реальный владелец блога уже не сможет восстановить контроль над блогом простым сбросом пароля. Это становится возможным, ввиду того, что Twitter не использует дополнительных методов верификации для тех, кто неавторизованно завладел пользовательским блогом и включил на нем двухфакторную аутентификацию. Когда возможность двухфакторной аутентификации включена (Account Security) в разделе управления аккаунтом, сайт отправляет тестовое сообщение на телефон. Пользователи просто нажимают "Да" (даже если они и не получили сообщения). Салливан говорит, что Twitter вместо этого нужно было бы отправлять ссылку с подтверждением по электронной почте, которая была указана в аккаунте и работает даже при подключении двухфакторной аутентификации. В F-Secure полагают, что выявленный ими метод могут использовать такие организаторы атак, как Сирийская электронная армия и другие, для угона пользовательских Twitter-аккаунтов. Кроме того в компании говорят, что система двухфакторной аутентификации Twitter в ее нынешнем виде непригодна для некоторых групп пользователей, например для поставщиков новостей и компаний с распределенной географической организацией, где многие сотрудники имеют доступ к аккаунтам. В Twitter пока никак не прокомментировали сообщение F-Secure.
Источник