Trang Chủ Đồng hồ an ninh Cách hack xác thực hai yếu tố của twitter

Cách hack xác thực hai yếu tố của twitter

Video: Hướng dẫn Hack nick Facebook mất 100% ( Quý Bánh ) #2 (Tháng mười một 2024)

Video: Hướng dẫn Hack nick Facebook mất 100% ( Quý Bánh ) #2 (Tháng mười một 2024)
Anonim

Chúng tôi đã chỉ ra một số vấn đề với xác thực hai yếu tố mới của Twitter. Ví dụ: vì chỉ một số điện thoại có thể được liên kết với một tài khoản, xác thực hai yếu tố của Twitter sẽ không hoạt động đối với các tổ chức như Associated Press, The Onion hoặc The Guardian. Họ đã bị hack; họ vẫn có thể bị hack một lần nữa theo cùng một cách. Tuy nhiên, các chuyên gia bảo mật chỉ ra rằng vấn đề còn tồi tệ hơn thế, tồi tệ hơn rất nhiều.

Chương trình hai bước của Twitter

Hỏi Josh Alexander, Giám đốc điều hành của công ty xác thực Toopher, bạn sẽ tiến hành hack Twitter như thế nào khi xác thực hai yếu tố. Anh ta sẽ nói với bạn rằng bạn làm điều đó chính xác giống như cách bạn đã làm trước khi có sự xác thực hai yếu tố.

Trong một đoạn video ngắn, vui nhộn về xác thực hai yếu tố của Twitter, Alexander chúc mừng Twitter đã tham gia "chương trình hai bước bảo mật" và thực hiện bước đầu tiên, thừa nhận có vấn đề. Sau đó, ông tiếp tục minh họa cách xác thực hai yếu tố dựa trên SMS giúp ích rất ít. "Giải pháp mới của bạn khiến cánh cửa rộng mở", Alexander nói, "cho các cuộc tấn công trung gian tương tự đã làm tổn hại đến danh tiếng của các nguồn tin tức và người nổi tiếng lớn."

Quá trình bắt đầu với một tin tặc gửi một email thuyết phục, một tin nhắn khuyên tôi thay đổi mật khẩu Twitter của mình, với một liên kết đến một trang Twitter giả mạo. Khi tôi làm như vậy, tin tặc sử dụng thông tin đăng nhập bị bắt của tôi để kết nối với Twitter thực. Twitter gửi cho tôi một mã xác minh và tôi nhập nó, từ đó đưa nó cho tin tặc. Tại thời điểm này, tài khoản được pwned. Xem video mà nó cho thấy quá trình rất rõ ràng.

Không có gì ngạc nhiên khi Toopher cung cấp một loại xác thực hai yếu tố dựa trên điện thoại thông minh khác. Giải pháp Toopher theo dõi các vị trí thông thường và các hoạt động thông thường của bạn và có thể được đặt để tự động phê duyệt các giao dịch thông thường. Thay vì nhắn tin cho bạn mã để hoàn thành giao dịch, nó sẽ gửi thông báo đẩy với các chi tiết về giao dịch bao gồm tên người dùng, trang web và tính toán liên quan. Tôi đã không kiểm tra nó, nhưng nó có vẻ hợp lý.

Tránh tiếp quản hai yếu tố

Ngôi sao nhạc rock bảo mật Mikko Hypponnen của F-Secure đặt ra một kịch bản thậm chí còn thảm khốc hơn. Nếu bạn chưa kích hoạt xác thực hai yếu tố, một malefactor có quyền truy cập vào tài khoản của bạn có thể thiết lập nó cho bạn, sử dụng điện thoại của chính anh ta.

Trong một bài đăng trên blog, Hypponen chỉ ra rằng nếu bạn từng gửi tweet qua SMS, bạn đã có số điện thoại được liên kết với tài khoản của mình. Thật dễ dàng để ngăn chặn sự liên kết đó; chỉ cần nhắn STOP tới mã ngắn Twitter cho quốc gia của bạn. Tuy nhiên, lưu ý rằng làm như vậy cũng tạm dừng xác thực hai yếu tố. Gửi GO bật lại.

Với suy nghĩ này, Hypponen đặt ra một chuỗi các sự kiện đáng sợ. Đầu tiên, tin tặc có quyền truy cập vào tài khoản của bạn, có thể thông qua tin nhắn lừa đảo. Sau đó, bằng cách nhắn tin GO từ điện thoại của anh ấy đến mã ngắn thích hợp và làm theo một vài lời nhắc, anh ấy định cấu hình tài khoản của bạn để mã xác thực hai yếu tố đến điện thoại của anh ấy. Bạn đang bị khóa.

Kỹ thuật này sẽ không hoạt động nếu bạn đã kích hoạt xác thực hai yếu tố. "Có lẽ bạn nên kích hoạt 2FA của tài khoản của mình", Hypponen đề xuất, "trước khi có người khác làm điều đó cho bạn." Tôi không hoàn toàn rõ ràng tại sao trước tiên kẻ tấn công không thể sử dụng tin nhắn giả mạo SMS để DỪNG xác thực hai yếu tố và sau đó tiến hành cuộc tấn công. Tôi có thể hoang tưởng hơn Mikko không?

Cách hack xác thực hai yếu tố của twitter