Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Društvene mreže, 28.05.2013, 08:59 AM

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pitanju nalozi čiji korisnici nisu aktivirali ovu opciju, upozorili su stručnjaci.

Twitter je prošle nedelje predstavio dvostepenu verifikaciju, kao opcionalnu zaštitnu meru koja treba da oteža pokušaje hakera da preotmu naloge korisnika u slučajevima kada uspeju da se domognu korisničkog imena i lozinke naloga. Ukoliko je ova opcija aktivirana, za pristup nalogu, osim korisničkog imena i lozinke, potreban je i tajni kod koji se putem SMS-a šalje vlasniku naloga.

Twitter je bio prinuđen da ponudi korisnicima ovu dodatnu zaštitu naloga posle niza incidenata sa hakovanjem profila kompanija i medijskih kuća.

Iako je Twitter-ovo uvođenje dvostepene verifikacije pozdravljeno kao neophodni korak u pravom smeru, stručnjaci ipak imaju neke rezerve.

Šon Salivan, savetnik za bezbednost u kompaniji F-Secure, kaže da hakeri mogu zloupotrebiti ovu opciju u slučaju naloga kod kojih ona nije aktivirana. Haker koji ukrade korisničko ime i lozinku za neki nalog, putem fišinga ili na neki drugi način, može povezati taj nalog sa nekim pripejd brojem i aktivirati dvostepenu verifikaciju naloga. U slučaju da se to dogodi, pravi vlasnik neće moći da oporavi nalog resetovanjem lozinke i moraće da kontaktira Twiter-ovu podršku.

To je moguće zbog toga što Twitter ne koristi nikakav dodatni metod provere da li je onaj ko pristupa nalogu ovlašćen da aktivira dvostepenu verifikaciju.

Kada se opcija dvostepene verifikacije aktivira na stranici za podešavanja naloga, sajt će pitati korisnika da li je primio test poruku koja je poslata na njegov telefon. Korisnik samo treba da klikne na “yes”, a to može da učini čak i ukoliko nije primio takvu poruku.

Umesto toga, kaže Salivan, Twitter bi trebalo da pošalje link za potvrdu na email adresu povezanu sa nalogom, tako da vlasnik naloga treba da klikne na link i tako potvrdi da je saglasan sa aktivacijom opcije dvostepene verifikacije.

S obzirom na ovo, Salivan je izrazio zabrinutost da bi hakeri mogli zloupotrebiti dvostepenu verifikaciju. Zbog mogućnosti ovakve zloupotrebe, dvostepena verifikacija bi se mogla pokazati više nego dobrodošlom, na primer, Sirijskoj elektronskoj armiji, hakerskoj grupi koja je poslednjih meseci hakovala Twitter naloge nekoliko velikih medijskih kuća. Ona bi obezbedila hakerima prolongiranje neovlašćenog pristupa kompromitovanom nalogu.

Stručnjak Kaspersky Lab-a, Dejvid Em, smatra da je moguće da ćemo u neko dogledno vreme videti malvere koji su specijalno razvijeni sa ciljem da kradu SMS kodove. To je realna mogućnost s obzirom da se hakeri brzo prilagođavaju novim uslovima, pa smo tako bili u prilici da vidimo malver ZitMo (ZeuS-in-the-Mobile) dizajniran za krađu mTAN brojeva za bankarske transakcije.

Neki stručnjaci smatraju da je trenutna implementacija Twitter-ove dvostepene verifikacije nepraktična pre svega za one koji su najčešće na meti hakera - medijske kuće, organizacije i kompanije, koje imaju zaposlene po celom svetu koji imaju pristup Twitter nalozima i ne mogu da koriste jedan broj telefona za potvrdu identiteta.

Twitter je zbog pomenutih incidenata i brojnih kritika bio prinuđen da ubrza implementaciju ove opcije, tako da je to verovatni razlog zbog čega kompanija nije sagledala sve aspekte ovakve primene. Ipak, stručnjaci veruju da je ovo samo prvi korak i da će kompanija na kraju ipak doći do solidne implementacije ove inače dobre mere za zaštitu bezbednosti naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook za 6 meseci obrisao više od 3 milijarde lažnih naloga

Facebook za 6 meseci obrisao više od 3 milijarde lažnih naloga

Facebook je objavio izveštaj sa podacima o tome koliko je objava i naloga bilo protiv kojih su preduzete određene mere u periodu između oktobra 201... Dalje

Facebook menja News Feed, prioritet daje bliskim prijateljima i relevantnim linkovima

Facebook menja News Feed, prioritet daje bliskim prijateljima i relevantnim linkovima

Facebook ponovo menja News Feed. Kompanija je u četvrtak objavila dva ažuriranja algoritma koji pokreće News Feed. Jedan od njih će prednost u no... Dalje

Twitter priznao da je ''greškom'' delio podatke o lokaciji korisnika iPhone uređaja sa neimenovanom kompanijom

Twitter priznao da je ''greškom'' delio podatke o lokaciji korisnika iPhone uređaja sa neimenovanom kompanijom

Twitter je priznao grešku koja je omogućila kompaniji da prikuplja podatke o lokaciji korisnika iPhone uređaja i da ih deli sa neimenovanim partne... Dalje

Facebook tuži južnokorejsku firmu zbog zloupotrebe podataka korisnika aplikacija

Facebook tuži južnokorejsku firmu zbog zloupotrebe podataka korisnika aplikacija

Facebook je tužio jednu južnokorejsku firmu zbog navodnog nezakonitog korišćenja i prodaje podatke korisnika aplikacija na njegovoj platformi. Dru... Dalje

Suosnivač Facebooka kaže da kompaniju treba hitno razbiti jer je Zakerberg suviše moćan

Suosnivač Facebooka kaže da kompaniju treba hitno razbiti jer je Zakerberg suviše moćan

Facebook hitno treba “razbiti” jer je Mark Zakerberg suviše moćan, tvrdi Kris Hjuz, suosnivač kompanije. Direktor Facebooka, Mark Zake... Dalje