Vyplývá to ze zprávy expertů finské firmy F-Secure, tkerá se zabývá vývojem antivirových řešení.
Twitter dvoufaktorové ověření představil minulý týden jako volitelný bezpečnostní prvek, aby útočníkům zkomplikoval krádeže uživatelských účtů, i když by se jim povedlo ukrást uživatelská jména a hesla daných uživatelů. V případě aktivace této funkce získáte druhý autentifikační faktor ve formě tajného kódu odeslaného prostřednictvím SMS.
Podle Seana Sullivena, bezpečnostního poradce společnosti F-Secure, by útočníci ve skutečnosti mohli této funkce zneužít za účelem prodloužení svého neautorizovaného přístupu na ty účty, které ji nemají aktivovanou. Expert na tento problém poprvé upozornil minulý týden v pátek na svém blogu.
Útočník, který ukradne něčí přihlašovací údaje (ať už phishingem nebo jinou metodou) by s účtem dané osoby mohl spojit telefonní číslo s předplaceným tarifem (kreditem), a potom aktivovat dvoufaktorovou autentifikaci. Pokud by se to stalo, nebyl by pravý vlastník schopen účet obnovit jednoduchou změnou hesla a musel by kontaktovat podporu Twitteru.
Výše uvedený postup je možný kvůli tomu, žeTwitter nepoužívá žádnou další metodu k ověření toho, zda člověk, který má přístup k účtu přes web Twitteru, je zároveň autorizovanou osobou k aktivaci dvoufaktorové autentifikace.
Ve chvíli, kdy je dvoufaktorová autentifikace zvaná „Account Security“ poprvé aktivována na stránce nastavení účtu, zeptá se web uživatele, jestli úspěšně obdržel testovací SMS zprávu. Uživatelé mohou jednoduše kliknout na „Ano“, a to i tehdy, když žádnou zprávu neobdrželi, tvrdí Sullivan.
Twitter by měl podle Sullivana poslat na e-mailovou adresu spojenou s účtem potvrzovací odkaz, jehož prostřednictvím mohl vlastník účtu potvrdit, že aktivaci dvoufaktorové autentifikace opravdu zadal on.
Funkce ve své současné podobě vyvolává u experta obavy, že by mohla být zneužita známými útočníky jako je syrská elektronická armáda (Syrian Electronic Army), skupina hackerů, která nedávno ukradla twitterové účty několika zpravodajských organizací, za účelem prodloužení neautorizovaného přístupu k napadeným účtům.
Někteří bezpečnostní experti již vyjádřili své přesvědčení, že funkce dvoufaktorové autentifikace v její aktuální implementaci je nepraktická pro zpravodajské organizace a společnosti s geograficky roztříštěnými týmy sociálních médií, kde má více zaměstnanců přístup k jednomu účtu a není možné, aby tito zaměstnanci pro autentifikaci sdíleli jediné telefonní číslo.
Twitter problém popsaný Sullivanem zatím nekomentoval. Podle Sullivana Twitter na funkci ověření nejspíše spěchal a nezvážil všechny aspekty. Nicméně podle něj se pravděpodobně jedná pouze o první krok a společnost asi nakonec všechny mouchy vychytá.
Zdroj: IDG News Service