Hlavní navigace

Dvoufaktorovou autentizaci Twitteru může útočník vypnout

Autor: Twitter
Daniel Dočekal

Dodatečné, roky očekávané, zabezpečení přihlašování na Twitteru lze bez problémů obejít. F-Secure upozorňuje na vážnou chybu v implementaci

Twitter se po mnoha letech a vlně hacknutých účtů rozhodl nasadit klasickou dvoufaktorovou  autentizaci založenou na využití mobilního telefonu a posílání SMS (viz Twitter zavedl bezpečnější přihlášení přes SMS, není ale pro všechny). Což by mohla být dobrá zpráva, kdyby se Twitteru nepodařilo tuto funkčnost nasadit se zásadní chybou.

Útočník může vypnout dodatečné zabezpečení prostě tak, že pošle SMS s podvrženým číslem s požadavkem STOP. Tento požadavek vede k odstranění mobilního čísla, které slouží pro dodatečné ověření. A odstraněním čísla se samozřejmě vše vypne.

Paradoxně je možné udělat i opak. F-Secure upozorňuje, že útočník může k vašemu účtu na Twitteru přidat vlastní telefonní číslo. Což ve výsledku povede k tomu, že k vašemu účtu na Twitteru se už nedostanete.

test 3

Někdo zjevně nedomyslel dostatečně všechny varianty. Naštěstí pro nás v Česku (které Twitter, stejně jako Slovensko, ignoruje a tweetujeme z Německa, Polska či Rakouska) není tento vážný nedostatek nebezpečný. Dvoufaktorová autentizace pro Česko není dostupná. Je totiž založená na národním čísle, které Twitter používá pro zasílání tweetů už dlouhé roky.

Zdroj: Twitter's 2FA: SMS Double-Duty

Našli jste v článku chybu?