Разработчики Twitter сообщили, что пользователи наконец смогут использовать не только SMS-сообщения, но и альтернативные методы двухфакторной аутентификации (2ФА), в том числе приложение c одноразовыми кодами или аппаратные ключи безопасности.

Раньше, чтобы использовать 2ФА, приходилось в обязательном порядке привязывать к учетной записи номер телефона и включать 2ФА на основе SMS-сообщений. Лишь после этого можно было активировать другой метод двухфакторной аутентификации, причем отключить использование SMS все равно было нельзя (даже если пользователь в итоге предпочел другой вариант 2ФА).

Проблема заключалась в том, что из-за этого аккаунты Twitter становились уязвимы перед атаками SIM swap. Суть таких атак заключается в том, что преступник обращается к представителям сотового оператора своей жертвы и применяет социальную инженерию. К примеру, выдавая себя за  настоящего владельца номера, злоумышленник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую SIM-карту. Затем злоумышленники воруют привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Такие атаки часто используются для кражи крупных сумм в криптовалюте или компрометации «дорогих» аккаунтов в социальных сетях.

За последние годы учетные записи многих известных личностей были взломаны именно таким способом, однако Twitter не отказывался от своего решения сделать 2ФА на основе SMS обязательной и всегда активной. Очевидно, передумать разработчиков заставил инцидент, произошедший почти три месяца тому назад.

Напомню, что в конце августа 2019 года был скомпрометирован аккаунт главы Twitter Джека Дорси. И хотя в данном случае проблема не касалась обхода 2ФА, все же, как показало расследование, злоумышленники сумели «угнать» SIM-карту Дорси, и именно благодаря этому смогли публиковать записи от его лица. После этого, судя по всему, в компании поняли, какую опасность представляют атаки SIM swap.

В результате теперь пользователи Twitter могут удалить телефонный номер, связанный с их учетной записью, но продолжать пользоваться двухфакторной аутентификацией, что раньше было невозможно.

Оставить мнение