Video: Kamaru Usman Opens Up About Disastrous Twitter Hack (Oktober 2024)
Twitter's to-trinns program
Spør Josh Alexander, administrerende direktør i godkjenningsselskapet Toopher, hvordan du vil gå for å hacke Twitter nå som tofaktorautentisering er på plass. Han vil fortelle deg at du gjør det på samme måte som du gjorde før tofaktorautentisering.
I en kort, drollvideo om Twitter's tofaktorautentisering, gratulerer Alexander Twitter for at han ble med i et "sikkerhetstrinns-program" og tok det første skrittet, og innrømmer at det eksisterer et problem. Deretter illustrerer han hvor lite den sms-baserte tofaktorautentiseringen hjelper. "Den nye løsningen din lar døra stå åpen, " sa Alexander, "for de samme midt-angrepene som kompromittert omdømmet til store nyhetskilder og kjendiser."
Prosessen starter med at en hacker sender en overbevisende e-post, en melding som ber meg endre mitt Twitter-passord, med en lenke til en falsk Twitter-side. Når jeg har gjort det, bruker hackeren mine fanget påloggingsinformasjon for å få kontakt med den virkelige Twitteren. Twitter sender meg en bekreftelseskode, og jeg skriver inn den, og gir den til hackeren. På dette tidspunktet er kontoen pwned. Se videoen - den viser prosessen veldig tydelig.
Det kommer ikke som noen overraskelse at Toopher tilbyr en annen type smarttelefonbasert tofaktorautentisering. Toopher-løsningen holder oversikt over de vanlige stedene og vanlige aktivitetene dine, og kan stilles inn for å godkjenne vanlige transaksjoner automatisk. I stedet for å sende deg en kode for å fullføre en transaksjon, sender den en pushvarsling med detaljer om transaksjonen, inkludert brukernavnet, nettstedet og den beregnede beregningen. Jeg har ikke testet det, men det ser fornuftig ut.
Unngå overtakelse av to faktorer
Sikkerhetsrockstjernen Mikko Hypponnen fra F-Secure utgjør et enda dyreere scenario. Hvis du ikke har aktivert tofaktorautentisering, kan en malefaktor som får tilgang til kontoen din konfigurere den for deg ved hjelp av sin egen telefon.
I et blogginnlegg påpeker Hypponen at hvis du noen gang sender tweets via SMS, har du allerede et telefonnummer tilknyttet kontoen din. Det er lett å stoppe denne foreningen; Bare skriv STOPP til Twitter-kortkoden for ditt land. Vær imidlertid oppmerksom på at ved å gjøre dette også stopper tofaktorautentisering. Sende GO slår den på igjen.
Med dette i bakhodet utgjør Hypponen en skummel hendelsesrekkefølge. For det første får hackeren tilgang til kontoen din, kanskje via en spyd phishing-melding. Ved å sende GO fra sin egen telefon til riktig kortkode og følge noen spørsmål, konfigurerer han kontoen din slik at tofaktorautentiseringskoden kommer til telefonen hans. Du er innelåst.
Denne teknikken fungerer ikke hvis du allerede har aktivert tofaktorautentisering. "Kanskje du bør aktivere kontoen din 2FA, " foreslo Hypponen, "før noen andre gjør det for deg." Det er ikke helt klart for meg hvorfor angriperen ikke først kunne bruke SMS-forfalskning for å STOPPE tofaktorautentisering og deretter fortsette med angrepet. Kan jeg være mer paranoid enn Mikko?
