Dvoufaktorovou autentizaci Twitteru může útočník vypnout

25. 5. 2013
Doba čtení: 1 minuta

Sdílet

Autor: Twitter
Dodatečné, roky očekávané, zabezpečení přihlašování na Twitteru lze bez problémů obejít. F-Secure upozorňuje na vážnou chybu v implementaci

Twitter se po mnoha letech a vlně hacknutých účtů rozhodl nasadit klasickou dvoufaktorovou  autentizaci založenou na využití mobilního telefonu a posílání SMS (viz Twitter zavedl bezpečnější přihlášení přes SMS, není ale pro všechny). Což by mohla být dobrá zpráva, kdyby se Twitteru nepodařilo tuto funkčnost nasadit se zásadní chybou.

Útočník může vypnout dodatečné zabezpečení prostě tak, že pošle SMS s podvrženým číslem s požadavkem STOP. Tento požadavek vede k odstranění mobilního čísla, které slouží pro dodatečné ověření. A odstraněním čísla se samozřejmě vše vypne.

Paradoxně je možné udělat i opak. F-Secure upozorňuje, že útočník může k vašemu účtu na Twitteru přidat vlastní telefonní číslo. Což ve výsledku povede k tomu, že k vašemu účtu na Twitteru se už nedostanete.

Marketing meeting Ai a tvorba obsahu

Někdo zjevně nedomyslel dostatečně všechny varianty. Naštěstí pro nás v Česku (které Twitter, stejně jako Slovensko, ignoruje a tweetujeme z Německa, Polska či Rakouska) není tento vážný nedostatek nebezpečný. Dvoufaktorová autentizace pro Česko není dostupná. Je totiž založená na národním čísle, které Twitter používá pro zasílání tweetů už dlouhé roky.

Zdroj: Twitter's 2FA: SMS Double-Duty

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).