Сразу после появления двухэтапной авторизации на сайте Twitter специалисты обратили внимание на странную процедуру ее активации. Достаточно указать номер телефона на сайте — и нажать кнопку “OK”. То есть даже не требуется ввести код, пришедший на телефон, чтобы подтвердить правильность введения номера телефона. Точно такая же процедура действует и при удалении услуги.
Шон Салливан из компании F-Secure опубликовал статью с описанием уязвимостей двухэтапной аутентификации Twitter и возможными сценариями атаки.
Слабость двухэтапной авторизации в Twitter еще и в том, что этот сервис можно подключить/удалить одновременно с подключением/удалением услуги получения твиты на мобильный телефон. Последняя услуга известна давно и легко компрометируется с помощью SMS-спуфинга. Достаточно отправить SMS-сообщение со словом STOP на номер компании Twitter в определенной стране, указав в качестве обратного номера номер жертвы — и вы отключили жертве двухэтапную авторизацию.
Шон Салливан из компании F-Secure успешно проверил описанный метод: ему удалось отключить двухэтапную авторизацию на чужом аккаунте. Пользователь, защищенный через двухэтапную авторизацию, обычно чувствует себя в безопасности и выбирает более простой пароль. Таким образом, подобрать его не составляет особого труда. Войдя в аккаунт, мы легко можем активировать двухэтапную авторизацию уже на свой номер телефона. То же самое справедливо для пользователей, у которых не была подключена услуга двухэтапной авторизации.
Даже зная пароль, жертва никак не сможет зайти на сайт без помощи техподдержки Twitter.
Таким образом, вам следует включить двухфакторную авторизацию, пока кто-то другой не сделал это за вас, но обязательно нужно использовать никому не известный номер телефона.