20 марта 2023 года компания Twitter отключит двухфакторную аутентификацию (2ФА) на основе SMS для всех пользователей, не имеющих платной подписки Twitter Blue (которая стоит 8 долларов в месяц).
В блоге разработчики сообщают, что все пользователи, которые не имеют подписки Twitter Blue, но используют двухфакторную аутентификацию через SMS, должны до 20 марта 2023 года перейти на другой метод 2ФА, иначе эта функция для них попросту будет отключена.
«После 20 марта 2023 года мы более не будем разрешать подписчикам, не являющимся подписчиками Twitter Blue, использовать текстовые сообщения в качестве метода 2ФА», — гласит официальное заявление компании.
Стоит отметить, что согласно официальному отчету Twitter о безопасности аккаунтов, в который вошли данные за период с июля 2021 года по декабрь 2021 года, только 2,6% пользователей платформы используют двухфакторную аутентификацию. Из них 74,4% используют именно 2ФА посредством SMS-сообщений, 28,9% используют специальные приложения-аутентификаторы и лишь 0,5% используют аппаратные ключи безопасности.
Илон Маск объяснил решение по отключению SMS 2ФА для простых пользователей тем, что компания ежегодно теряет 60 миллионов долларов на поддельных SMS-сообщениях двухфакторной аутентификации. По его словам, более 390 телекоммуникационных компаний из разных стран мира создавали миллионы ботов для отправки SMS-сообщений 2ФА, а Twitter была вынуждена платить за эти сообщения. В итоге выяснилось, что у этих компаний было более 10% фальшивых SMS-сообщений.
Маск рассказывает, что сначала приказал отключить всех недобросовестных операторов, а затем предложил заключить с ними новую сделку, которая гарантирует, что потоки фейковых сообщений прекратятся, и компании вернутся к взаимовыгодному сотрудничеству.
Также Маск отметил, что приложения-аутентификаторы в любом случае «намного более безопасны, чем SMS» для пользователей, и другие методы 2ФА будут по-прежнему доступны всем желающим.
Разработчики так же пишут, что Twitter вынужден пойти на этот шаг, потому как 2ФА на основе текстовых сообщений злоупотребляли злоумышленники. Очевидно, в этом случае имеются в виду и атаки с подменой SIM-карт, когда хакеры перехватывают контроль над чужим номером телефона.