twitter

Twitter: брешь в системе авторизации

Все из вас знакомы с сервисом микроблоггинга — Twitter. Ежедневная аудитория сайта приближается к 1 миллиарду пользователей. А раз так много юзеров использует твиттер, хакеры задались вопросом: почему мы не взломать парочку известных аккаунтов?

В 2012 году были взломаны известные аккаунты: Associated Press, AFP, Gardian и другие. В августе 2013 хакеры взломали еще ряд аккаунтов, где разместили информацию о смерти Горбачева.

Постоянные взломы заставили разработчиков ввести двухфакторную авторизацию в twitter. Казалось бы, панацея. Но через всего пару дней в Интернете появилась инфа, что ее можно обойти. Эксперт в области безопасности, Шон Салливан, опубликовал подробную статью, как обойти защиту твиттера.

Как известно, двухфакторную авторизацию можно как подключить к своему акканту, так и отключить совместно с услугой получения твит-сообщений на сотовый. Вот здесь и есть слабое место защиты. Вспоминаем смс-спуфинг — это подмена обратного адреса отправителя sms. Т.е., чтобы отключить услугу двухфакторной авторизации, надо отправить смс с текстом ‘STOP’ на номер twitter в России (или другой страны, смотря где вы находитесь), а в качестве обратного телефона указываем номер жертвы.

Все. У взламываемого аккаунта отключилась услуга отправки sms на сотовый и двухфакторная авторизация. А дальше — полный простор действиям.




Добавить комментарий

Ваш e-mail не будет опубликован.