Этим летом пользователи Instagram массово жаловались на взломы своих учетных записей, причем у многих пострадавших была включена двухфакторная аутентификация (2ФА) через SMS-сообщения.
Вскоре стало ясно, что проблема заключается в небезопасности такого способа 2ФА в целом. Например, в июле 2018 года журналисты Vice Motherboard обнародовали результаты расследования, доказывающего, что злоумышленники часто «угоняют» SIM-карты пользователей, что позволяет им похищать учетные записи и чужие личности десятками и даже сотнями.
Стоит сказать, что еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации является «недопустимым» и «небезопасным». Об этом же давно говорят ИБ-специалисты, ведь вариантов атак здесь может быть много. К примеру, атакующие могут эксплуатировать уязвимости в SS7 и перехватить сообщения, осуществить так называемый SIM swap, то есть перевыпустить SIM-карту жертвы на себя, и наконец, SMS-сообщения может перехватить даже малварь, проникнувшая на устройство.
Разработчики Instagram прислушались к советам специалистов и жалобам пострадавших. Они объявили, что улучшают двухфакторную аутентификацию своего сервиса, добавляя поддержку сторонних аутентификационных приложений (Google Authenticator, DUO Mobile), которая заработает уже на этой неделе. Пользователи смогут самостоятельно выбирать решение для осуществления 2ФА в Google Play или App Store, включив соответствующую опцию в настройках аккаунта.
Кроме того, для борьбы с ботами, фальшивыми аккаунтами звезд и злоупотреблением, разработчики ввели новую функцию: About this Account («Об этом аккаунте»). С ее помощью пользователи смогут увидеть историю чужой учетной записи и узнать дату ее создания; страну, к которой аккаунт относится; информацию о смене имени пользователя; найти профили с пересекающимися базами подписчиков.
Также теперь пользователи могут подать заявку на верификацию своих учетных записей, предоставив операторам Instagram копии документов и указав настоящее имя. У таких аккаунтов появится соответствующая галочка.
