2-factor authenticatie Twitter makkelijk te hacken
Sean Sullivan, beveiliger bij F-Secure laat in een blog weten niet geheel gecharmeerd te zijn van deze oplossing. “De 2 factor authenticatie (2FA) van Twitter is gebaseerd op SMS. Maar Twitter gebruikt ook SMS om tweets te versturen en te ontvangen. Je kunt inkomende tweets blokkeren, wat een nuttige toepassing is omdat mensen door die tweets soms ongewild aan het roamen slaan en daardoor hoge rekeningen kunnen krijgen.” Door dit uit te zetten wordt echter ook de 2FA uitgezet.
© Twitter
Twitter
Hacker zet het zelf aan
Vervelender is dat het weer aan gezet kan worden door een aanvaller als hij het telefoonnummer van een gebruiker kent en wel door middel van SMS spoofing. Volgens Sullivan kan een aanvaller die toegang heeft gekregen tot een account via spear phishing dit zodanig bewerken dat hij het zelf kan gebruiken. Daarvoor is alleen een willekeurig telefoonnummer nodig en een SMS-bericht met het woord ‘GO’. Het slachtoffer wordt vervolgens buitengesloten bij zijn eigen account en kan het alleen maar terugkrijgen met hulp van Twitter zelf.
Man-in-the-middle
Ook Josh Alexander van authenticatieleverancier Toopher, wijst op de zwakke beveiliging die deze 2FA-methode biedt. Het maakt man-in-the-middle-aanvallen erg eenvoudig volgens Alexander. Hij schetst een scenario waarbij een hacker met een overtuigende e-mail een Twitter-gebruiker overhaalt zijn wachtwoord te wijzigen op een nagemaakte Twitter-site. Die gegevens gebruikt de hacker om de wijzigingen aan te vragen bij het echte Twitter, dat op zijn beurt een verificatiecode stuurt die ook bij de hacker terecht komt. Daarmee kan hij het account overnemen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee