Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Društvene mreže, 28.05.2013, 08:59 AM

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pitanju nalozi čiji korisnici nisu aktivirali ovu opciju, upozorili su stručnjaci.

Twitter je prošle nedelje predstavio dvostepenu verifikaciju, kao opcionalnu zaštitnu meru koja treba da oteža pokušaje hakera da preotmu naloge korisnika u slučajevima kada uspeju da se domognu korisničkog imena i lozinke naloga. Ukoliko je ova opcija aktivirana, za pristup nalogu, osim korisničkog imena i lozinke, potreban je i tajni kod koji se putem SMS-a šalje vlasniku naloga.

Twitter je bio prinuđen da ponudi korisnicima ovu dodatnu zaštitu naloga posle niza incidenata sa hakovanjem profila kompanija i medijskih kuća.

Iako je Twitter-ovo uvođenje dvostepene verifikacije pozdravljeno kao neophodni korak u pravom smeru, stručnjaci ipak imaju neke rezerve.

Šon Salivan, savetnik za bezbednost u kompaniji F-Secure, kaže da hakeri mogu zloupotrebiti ovu opciju u slučaju naloga kod kojih ona nije aktivirana. Haker koji ukrade korisničko ime i lozinku za neki nalog, putem fišinga ili na neki drugi način, može povezati taj nalog sa nekim pripejd brojem i aktivirati dvostepenu verifikaciju naloga. U slučaju da se to dogodi, pravi vlasnik neće moći da oporavi nalog resetovanjem lozinke i moraće da kontaktira Twiter-ovu podršku.

To je moguće zbog toga što Twitter ne koristi nikakav dodatni metod provere da li je onaj ko pristupa nalogu ovlašćen da aktivira dvostepenu verifikaciju.

Kada se opcija dvostepene verifikacije aktivira na stranici za podešavanja naloga, sajt će pitati korisnika da li je primio test poruku koja je poslata na njegov telefon. Korisnik samo treba da klikne na “yes”, a to može da učini čak i ukoliko nije primio takvu poruku.

Umesto toga, kaže Salivan, Twitter bi trebalo da pošalje link za potvrdu na email adresu povezanu sa nalogom, tako da vlasnik naloga treba da klikne na link i tako potvrdi da je saglasan sa aktivacijom opcije dvostepene verifikacije.

S obzirom na ovo, Salivan je izrazio zabrinutost da bi hakeri mogli zloupotrebiti dvostepenu verifikaciju. Zbog mogućnosti ovakve zloupotrebe, dvostepena verifikacija bi se mogla pokazati više nego dobrodošlom, na primer, Sirijskoj elektronskoj armiji, hakerskoj grupi koja je poslednjih meseci hakovala Twitter naloge nekoliko velikih medijskih kuća. Ona bi obezbedila hakerima prolongiranje neovlašćenog pristupa kompromitovanom nalogu.

Stručnjak Kaspersky Lab-a, Dejvid Em, smatra da je moguće da ćemo u neko dogledno vreme videti malvere koji su specijalno razvijeni sa ciljem da kradu SMS kodove. To je realna mogućnost s obzirom da se hakeri brzo prilagođavaju novim uslovima, pa smo tako bili u prilici da vidimo malver ZitMo (ZeuS-in-the-Mobile) dizajniran za krađu mTAN brojeva za bankarske transakcije.

Neki stručnjaci smatraju da je trenutna implementacija Twitter-ove dvostepene verifikacije nepraktična pre svega za one koji su najčešće na meti hakera - medijske kuće, organizacije i kompanije, koje imaju zaposlene po celom svetu koji imaju pristup Twitter nalozima i ne mogu da koriste jedan broj telefona za potvrdu identiteta.

Twitter je zbog pomenutih incidenata i brojnih kritika bio prinuđen da ubrza implementaciju ove opcije, tako da je to verovatni razlog zbog čega kompanija nije sagledala sve aspekte ovakve primene. Ipak, stručnjaci veruju da je ovo samo prvi korak i da će kompanija na kraju ipak doći do solidne implementacije ove inače dobre mere za zaštitu bezbednosti naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook o curenju podataka više od pola milijarde svojih korisnika

Facebook o curenju podataka više od pola milijarde svojih korisnika

Početkom meseca je objavljeno da su procurili podaci više od 533 miliona korisnika Facebooka. Baza podataka sa brojevima telefona i drugim podacima ... Dalje

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Sajber kriminalci često koriste popularnost nekih aplikacija da bi prevarili korisnike i inficirali što više uređaja. Aplikacija Clubhouse trenutn... Dalje

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Nekoliko dana nakon što se masovno curenje podataka korisnika Facebooka našlo u svim vestima, stiže nova vest o još jednom curenju podataka, ovog ... Dalje

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook nije obavestio više od 533 miliona svojih korisnika da su njihovi podaci procurili zbog greške u funkciji koja omogućava uvoz kontakata i ... Dalje

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Na sajtu „Have I Been Pwned” korisnici Facebooka sada mogu proveriti da li je njihov telefonski broj u bazi podataka koji su ukradeni 2019... Dalje