Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Društvene mreže, 28.05.2013, 08:59 AM

Stručnjaci upozoravaju: Twitter-ova dvostepena verifikacija neće zaustaviti hakerske napade

Dugo očekivana opcija dvostepene verifikacije naloga koju je Twitter ponudio korisnicima prošle nedelje mogla bi biti zloupotrebljena kada su u pitanju nalozi čiji korisnici nisu aktivirali ovu opciju, upozorili su stručnjaci.

Twitter je prošle nedelje predstavio dvostepenu verifikaciju, kao opcionalnu zaštitnu meru koja treba da oteža pokušaje hakera da preotmu naloge korisnika u slučajevima kada uspeju da se domognu korisničkog imena i lozinke naloga. Ukoliko je ova opcija aktivirana, za pristup nalogu, osim korisničkog imena i lozinke, potreban je i tajni kod koji se putem SMS-a šalje vlasniku naloga.

Twitter je bio prinuđen da ponudi korisnicima ovu dodatnu zaštitu naloga posle niza incidenata sa hakovanjem profila kompanija i medijskih kuća.

Iako je Twitter-ovo uvođenje dvostepene verifikacije pozdravljeno kao neophodni korak u pravom smeru, stručnjaci ipak imaju neke rezerve.

Šon Salivan, savetnik za bezbednost u kompaniji F-Secure, kaže da hakeri mogu zloupotrebiti ovu opciju u slučaju naloga kod kojih ona nije aktivirana. Haker koji ukrade korisničko ime i lozinku za neki nalog, putem fišinga ili na neki drugi način, može povezati taj nalog sa nekim pripejd brojem i aktivirati dvostepenu verifikaciju naloga. U slučaju da se to dogodi, pravi vlasnik neće moći da oporavi nalog resetovanjem lozinke i moraće da kontaktira Twiter-ovu podršku.

To je moguće zbog toga što Twitter ne koristi nikakav dodatni metod provere da li je onaj ko pristupa nalogu ovlašćen da aktivira dvostepenu verifikaciju.

Kada se opcija dvostepene verifikacije aktivira na stranici za podešavanja naloga, sajt će pitati korisnika da li je primio test poruku koja je poslata na njegov telefon. Korisnik samo treba da klikne na “yes”, a to može da učini čak i ukoliko nije primio takvu poruku.

Umesto toga, kaže Salivan, Twitter bi trebalo da pošalje link za potvrdu na email adresu povezanu sa nalogom, tako da vlasnik naloga treba da klikne na link i tako potvrdi da je saglasan sa aktivacijom opcije dvostepene verifikacije.

S obzirom na ovo, Salivan je izrazio zabrinutost da bi hakeri mogli zloupotrebiti dvostepenu verifikaciju. Zbog mogućnosti ovakve zloupotrebe, dvostepena verifikacija bi se mogla pokazati više nego dobrodošlom, na primer, Sirijskoj elektronskoj armiji, hakerskoj grupi koja je poslednjih meseci hakovala Twitter naloge nekoliko velikih medijskih kuća. Ona bi obezbedila hakerima prolongiranje neovlašćenog pristupa kompromitovanom nalogu.

Stručnjak Kaspersky Lab-a, Dejvid Em, smatra da je moguće da ćemo u neko dogledno vreme videti malvere koji su specijalno razvijeni sa ciljem da kradu SMS kodove. To je realna mogućnost s obzirom da se hakeri brzo prilagođavaju novim uslovima, pa smo tako bili u prilici da vidimo malver ZitMo (ZeuS-in-the-Mobile) dizajniran za krađu mTAN brojeva za bankarske transakcije.

Neki stručnjaci smatraju da je trenutna implementacija Twitter-ove dvostepene verifikacije nepraktična pre svega za one koji su najčešće na meti hakera - medijske kuće, organizacije i kompanije, koje imaju zaposlene po celom svetu koji imaju pristup Twitter nalozima i ne mogu da koriste jedan broj telefona za potvrdu identiteta.

Twitter je zbog pomenutih incidenata i brojnih kritika bio prinuđen da ubrza implementaciju ove opcije, tako da je to verovatni razlog zbog čega kompanija nije sagledala sve aspekte ovakve primene. Ipak, stručnjaci veruju da je ovo samo prvi korak i da će kompanija na kraju ipak doći do solidne implementacije ove inače dobre mere za zaštitu bezbednosti naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TikTok podneo tužbu protiv Montane zbog zabrane aplikacije

TikTok podneo tužbu protiv Montane zbog zabrane aplikacije

TikTok je u ponedeljak podneo tužbu američkom Okružnom sudu u Montani tražeći poništenje prve državne zabrane aplikacije u SAD. U tužbi se na... Dalje

EU kaznila Facebook sa 1,3 milijarde evra zbog prenosa podataka korisnika EU u SAD

EU kaznila Facebook sa 1,3 milijarde evra zbog prenosa podataka korisnika EU u SAD

Regulatorno telo EU, Irska komisija za zaštitu podataka (DPC), kaznilo je Facebookovu matičnu kompaniju Meta sa rekordnih 1,2 milijarde evra zbog pr... Dalje

Guverner Montane potpisao zakon o zabrani TikToka

Guverner Montane potpisao zakon o zabrani TikToka

Guverner Montane Greg Đanforte potpisao je zakon o zabrani TikToka u državi, što je prva zabrana te vrste u Sjedinjenim Državama. Predlog zakona, ... Dalje

Ako gledate tuđe Facebook profile ova bi vas greška mogla odati

Ako gledate tuđe Facebook profile ova bi vas greška mogla odati

Cybernews je potvrdio informaciju sa Twittera da Facebook greškom šalje automatske zahteve za prijateljstvo Facebook profilima koje korisnici poseć... Dalje

TikTok zabranjen i u Austriji

TikTok zabranjen i u Austriji

Austrija je poslednja u nizu zemalja u Evropskoj uniji koja je zabranila TikTok na vladinim uređajima zbog zabrinutosti za privatnost. Austrijski min... Dalje