Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade
Društvene mreže, 28.05.2013, 08:59 AM

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pitanju nalozi čiji korisnici nisu aktivirali ovu opciju, upozorili su stručnjaci.
Twitter je prošle nedelje predstavio dvostepenu verifikaciju, kao opcionalnu zaštitnu meru koja treba da oteža pokušaje hakera da preotmu naloge korisnika u slučajevima kada uspeju da se domognu korisničkog imena i lozinke naloga. Ukoliko je ova opcija aktivirana, za pristup nalogu, osim korisničkog imena i lozinke, potreban je i tajni kod koji se putem SMS-a šalje vlasniku naloga.
Twitter je bio prinuđen da ponudi korisnicima ovu dodatnu zaštitu naloga posle niza incidenata sa hakovanjem profila kompanija i medijskih kuća.
Iako je Twitter-ovo uvođenje dvostepene verifikacije pozdravljeno kao neophodni korak u pravom smeru, stručnjaci ipak imaju neke rezerve.
Šon Salivan, savetnik za bezbednost u kompaniji F-Secure, kaže da hakeri mogu zloupotrebiti ovu opciju u slučaju naloga kod kojih ona nije aktivirana. Haker koji ukrade korisničko ime i lozinku za neki nalog, putem fišinga ili na neki drugi način, može povezati taj nalog sa nekim pripejd brojem i aktivirati dvostepenu verifikaciju naloga. U slučaju da se to dogodi, pravi vlasnik neće moći da oporavi nalog resetovanjem lozinke i moraće da kontaktira Twiter-ovu podršku.
To je moguće zbog toga što Twitter ne koristi nikakav dodatni metod provere da li je onaj ko pristupa nalogu ovlašćen da aktivira dvostepenu verifikaciju.
Kada se opcija dvostepene verifikacije aktivira na stranici za podešavanja naloga, sajt će pitati korisnika da li je primio test poruku koja je poslata na njegov telefon. Korisnik samo treba da klikne na “yes”, a to može da učini čak i ukoliko nije primio takvu poruku.
Umesto toga, kaže Salivan, Twitter bi trebalo da pošalje link za potvrdu na email adresu povezanu sa nalogom, tako da vlasnik naloga treba da klikne na link i tako potvrdi da je saglasan sa aktivacijom opcije dvostepene verifikacije.
S obzirom na ovo, Salivan je izrazio zabrinutost da bi hakeri mogli zloupotrebiti dvostepenu verifikaciju. Zbog mogućnosti ovakve zloupotrebe, dvostepena verifikacija bi se mogla pokazati više nego dobrodošlom, na primer, Sirijskoj elektronskoj armiji, hakerskoj grupi koja je poslednjih meseci hakovala Twitter naloge nekoliko velikih medijskih kuća. Ona bi obezbedila hakerima prolongiranje neovlašćenog pristupa kompromitovanom nalogu.
Stručnjak Kaspersky Lab-a, Dejvid Em, smatra da je moguće da ćemo u neko dogledno vreme videti malvere koji su specijalno razvijeni sa ciljem da kradu SMS kodove. To je realna mogućnost s obzirom da se hakeri brzo prilagođavaju novim uslovima, pa smo tako bili u prilici da vidimo malver ZitMo (ZeuS-in-the-Mobile) dizajniran za krađu mTAN brojeva za bankarske transakcije.
Neki stručnjaci smatraju da je trenutna implementacija Twitter-ove dvostepene verifikacije nepraktična pre svega za one koji su najčešće na meti hakera - medijske kuće, organizacije i kompanije, koje imaju zaposlene po celom svetu koji imaju pristup Twitter nalozima i ne mogu da koriste jedan broj telefona za potvrdu identiteta.
Twitter je zbog pomenutih incidenata i brojnih kritika bio prinuđen da ubrza implementaciju ove opcije, tako da je to verovatni razlog zbog čega kompanija nije sagledala sve aspekte ovakve primene. Ipak, stručnjaci veruju da je ovo samo prvi korak i da će kompanija na kraju ipak doći do solidne implementacije ove inače dobre mere za zaštitu bezbednosti naloga.

Izdvojeno
Hakeri šire opasni malver preko SVG slika na Facebook-u

Većina ljudi je upoznata sa standardnim formatima slika poput JPG ili PNG. To su obične slike, bez skrivenih funkcija. SVG, ili skalabilna vektorsk... Dalje
Telegram krenuo u obračun sa prevarantima na plaformi koji ucenjuju korisnike
.jpg)
Pavel Durov, direktor i osnivač Telegrama, izjavio je da je ove nedelje platforma krenula u obračun sa prevarantima nakon što je kompanija primila ... Dalje
Posao iz snova? Kako prevaranti koriste lažne poslove i veštačku inteligenciju da vas prevare

U vreme sve veće ekonomske nesigurnosti, prevaranti svakodnevno pokušavaju da iskoriste lakovernost ljudi nudeći im „brzu zaradu“, &bdq... Dalje
ClickTok: Nova prevara se širi TikTokom
.jpg)
Korisnici TikTok Shop-a meta su nove globalne prevare nazvane ClickTok. Više od 15.000 lažnih veb sajtova i mobilnih aplikacija i sadržaj generisan... Dalje
Instagram uvodi nove bezbednosne mere za zaštitu dece

Meta uvodi nove bezbednosne funkcije na Instagramu kako bi zaštitila decu od štetnog sadržaja, posebno na nalozima kojima upravljaju odrasli koji b... Dalje
Pratite nas
Nagrade