Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Društvene mreže, 28.05.2013, 08:59 AM

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pitanju nalozi čiji korisnici nisu aktivirali ovu opciju, upozorili su stručnjaci.

Twitter je prošle nedelje predstavio dvostepenu verifikaciju, kao opcionalnu zaštitnu meru koja treba da oteža pokušaje hakera da preotmu naloge korisnika u slučajevima kada uspeju da se domognu korisničkog imena i lozinke naloga. Ukoliko je ova opcija aktivirana, za pristup nalogu, osim korisničkog imena i lozinke, potreban je i tajni kod koji se putem SMS-a šalje vlasniku naloga.

Twitter je bio prinuđen da ponudi korisnicima ovu dodatnu zaštitu naloga posle niza incidenata sa hakovanjem profila kompanija i medijskih kuća.

Iako je Twitter-ovo uvođenje dvostepene verifikacije pozdravljeno kao neophodni korak u pravom smeru, stručnjaci ipak imaju neke rezerve.

Šon Salivan, savetnik za bezbednost u kompaniji F-Secure, kaže da hakeri mogu zloupotrebiti ovu opciju u slučaju naloga kod kojih ona nije aktivirana. Haker koji ukrade korisničko ime i lozinku za neki nalog, putem fišinga ili na neki drugi način, može povezati taj nalog sa nekim pripejd brojem i aktivirati dvostepenu verifikaciju naloga. U slučaju da se to dogodi, pravi vlasnik neće moći da oporavi nalog resetovanjem lozinke i moraće da kontaktira Twiter-ovu podršku.

To je moguće zbog toga što Twitter ne koristi nikakav dodatni metod provere da li je onaj ko pristupa nalogu ovlašćen da aktivira dvostepenu verifikaciju.

Kada se opcija dvostepene verifikacije aktivira na stranici za podešavanja naloga, sajt će pitati korisnika da li je primio test poruku koja je poslata na njegov telefon. Korisnik samo treba da klikne na “yes”, a to može da učini čak i ukoliko nije primio takvu poruku.

Umesto toga, kaže Salivan, Twitter bi trebalo da pošalje link za potvrdu na email adresu povezanu sa nalogom, tako da vlasnik naloga treba da klikne na link i tako potvrdi da je saglasan sa aktivacijom opcije dvostepene verifikacije.

S obzirom na ovo, Salivan je izrazio zabrinutost da bi hakeri mogli zloupotrebiti dvostepenu verifikaciju. Zbog mogućnosti ovakve zloupotrebe, dvostepena verifikacija bi se mogla pokazati više nego dobrodošlom, na primer, Sirijskoj elektronskoj armiji, hakerskoj grupi koja je poslednjih meseci hakovala Twitter naloge nekoliko velikih medijskih kuća. Ona bi obezbedila hakerima prolongiranje neovlašćenog pristupa kompromitovanom nalogu.

Stručnjak Kaspersky Lab-a, Dejvid Em, smatra da je moguće da ćemo u neko dogledno vreme videti malvere koji su specijalno razvijeni sa ciljem da kradu SMS kodove. To je realna mogućnost s obzirom da se hakeri brzo prilagođavaju novim uslovima, pa smo tako bili u prilici da vidimo malver ZitMo (ZeuS-in-the-Mobile) dizajniran za krađu mTAN brojeva za bankarske transakcije.

Neki stručnjaci smatraju da je trenutna implementacija Twitter-ove dvostepene verifikacije nepraktična pre svega za one koji su najčešće na meti hakera - medijske kuće, organizacije i kompanije, koje imaju zaposlene po celom svetu koji imaju pristup Twitter nalozima i ne mogu da koriste jedan broj telefona za potvrdu identiteta.

Twitter je zbog pomenutih incidenata i brojnih kritika bio prinuđen da ubrza implementaciju ove opcije, tako da je to verovatni razlog zbog čega kompanija nije sagledala sve aspekte ovakve primene. Ipak, stručnjaci veruju da je ovo samo prvi korak i da će kompanija na kraju ipak doći do solidne implementacije ove inače dobre mere za zaštitu bezbednosti naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

Instagram je najavio nove funkcije koje će ljudima pružiti više informacija direktno u aplikaciji kada “nešto krene naopako”. Instagra... Dalje

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram će uvesti nove mere kako bi tinejdžere odvratio od štetnog sadržaja i podstakao ih da “predahnu”, izjavio je potpredsednik ... Dalje

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Baza podataka koja sadrži podatke o više od 700 miliona korisnika, za koje se veruje da su prikupljeni sa LinkedIna, procurila je ove nedelje, tri m... Dalje

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook je najavio promene u kontrolama saglasnosti za kolačiće u Evropi sa ciljem da korisnicima omogući veću kontrolu nad privatnošću, ali... Dalje

Facebook demantuje izveštaje da je namerno odlagao rešavanje ozbiljnih problema na svojim platformama

Facebook demantuje izveštaje da je namerno odlagao rešavanje ozbiljnih problema na svojim platformama

Facebook tvrdi da je od 2016. godine potrošio više od 13 milijardi dolara na bezbednost i zaštitu, kao i da se 40.000 zaposlenih u kompaniji bavi i... Dalje