Koti Securitywatch Kuinka hakkeroida twitterin kaksifaktorista todennusta

Kuinka hakkeroida twitterin kaksifaktorista todennusta

Video: Kuinka välttyä HAKKEROINNILTA? 5 vinkkiä! (Marraskuu 2024)

Video: Kuinka välttyä HAKKEROINNILTA? 5 vinkkiä! (Marraskuu 2024)
Anonim

Olemme huomauttaneet joitain ongelmia Twitterin uudessa kaksifaktorisessa todennuksessa. Esimerkiksi, koska tiliin voidaan liittää vain yksi puhelinnumero, Twitterin kaksifaktorinen todennus ei toimi organisaatioissa, kuten Associated Press, The Onion tai The Guardian. Heitä hakkeroitiin; ne voidaan silti hakkeroida uudelleen samalla tavalla. Turvallisuusasiantuntijat kuitenkin ilmoittavat, että ongelma on sitä pahempi, paljon pahempi.

Twitterin kaksivaiheinen ohjelma

Kysy todennusyrityksen Toopherin toimitusjohtajalta Josh Alexanderilta, miten sinä hakkeroit Twitteriä nyt, kun kaksifaktorinen todennus on paikallaan. Hän kertoo, että teet sen täsmälleen samalla tavalla kuin ennen kaksitekijän todennusta.

Lyhyessä, lyhyessä videossa Twitterin kaksifaktorisesta todennuksesta, Alexander onnittelee Twitteriä liittymisestä "kaksivaiheiseen turvaohjelmaan" ja ensimmäisen askeleen ottamisesta tunnustaen, että ongelma on olemassa. Sitten hän kuvaa vain kuinka vähän SMS-pohjainen kaksikerroinen todennus auttaa. "Uusi ratkaisusi jättää oven auki", sanoi Aleksander, "samoille keski-iskuille, jotka vaarantavat suurten uutislähteiden ja kuuluisuuksien maineen."

Prosessi alkaa siitä, että hakkeri lähettää vakuuttavan sähköpostiviestin, viestin, joka neuvoo minua vaihtamaan Twitter-salasanani ja linkin väärennettyyn Twitter-sivustoon. Kun teen, hakkeri käyttää sieppaamiasi kirjautumistietoja yhteydenpitoon todelliseen Twitteriin. Twitter lähettää minulle vahvistuskoodin ja annan sen, antaen sen siten hakkeriin. Tässä vaiheessa tili on purettu. Katso video - se näyttää prosessin erittäin selvästi.

Ei ole yllättävää, että Toopher tarjoaa erilaista älypuhelinpohjaista kaksifaktorista todennusta. Toopher-ratkaisu seuraa tavallisia sijaintejasi ja tavallisia toimintojasi, ja se voidaan asettaa hyväksymään tavalliset tapahtumat automaattisesti. Sen sijaan, että lähettäisit sinulle koodin tapahtuman suorittamiseksi, se lähettää push-ilmoituksen, joka sisältää tiedot tapahtumasta, mukaan lukien käyttäjänimi, sivusto ja mukana oleva laskenta. En ole testannut sitä, mutta se näyttää järkevältä.

Vältä kahden tekijän haltuunottoa

F-Securen turvallisuusrockar Mikko Hypponnen asettaa entistä tarkemman skenaarion. Jos et ole ottanut käyttöön kaksikerroista todennusta, tilillesi pääsyä suorittava huono tekijä voisi asettaa sen puolestasi omalla puhelimellaan.

Hypponen huomauttaa blogiviestissä, että jos lähetät tweettejä tekstiviestinä, sinulla on jo tiliisi liitetty puhelinnumero. Se on helppo pysäyttää tämä yhdistys; yksinkertaisesti kirjoita PYSÄKY maasi Twitter-lyhytkoodiin. Huomaa kuitenkin, että niin tekeminen myös pysäyttää kaksifaktorisen todennuksen. Lähettämällä GO käynnistää sen uudelleen.

Tätä silmällä pitäen Hypponen asettaa pelottavan tapahtumasarjan. Ensinnäkin hakkeri pääsee tilillesi, ehkä keihäshuijausviestin kautta. Sitten, lähettämällä tekstiviestin GO omasta puhelimesta oikeaan lyhytkoodiin ja seuraamalla muutamaa kehotusta, hän konfiguroi tilisi siten, että kaksikerroinen todennuskoodi tulee hänen puhelimeen. Olet lukittu.

Tämä tekniikka ei toimi, jos olet jo ottanut käyttöön kaksikerroisen todennuksen. "Ehkä sinun pitäisi ottaa tilisi 2FA käyttöön", ehdotti Hypponen, "ennen kuin joku muu tekee sen puolestasi." Minulle ei ole täysin selvää, miksi hyökkääjä ei voinut ensin käyttää tekstiviestien väärentämistä STOP: n kaksifaktorisen todennuksen lopettamiseen ja jatkaa sitten hyökkäystä. Voisinko olla enemmän vainoharhainen kuin Mikko?

Kuinka hakkeroida twitterin kaksifaktorista todennusta