Соцсеть Twitter позволила своим пользователям деактивировать включенную по умолчанию двухфакторную аутентификацию по SMS. Отметим, ранее такая возможность отсутствовала.
Если пользователь хотел включить двухфакторную аутентификацию для своей учетной записи, он должен был зарегистрировать свой номер телефона и активировать двухфакторную аутентификацию по SMS без возможности ее дальнейшего отключения. Те, кто использовал мобильные приложения OTP для аутентификации, сначала должны были активировать двухфакторную аутентификацию по SMS, отключить которую потом было невозможно.
Даже если владелец учетной записи использовал ключ безопасности, двухфакторная аутентификация по SMS все равно оставалась включенной, подвергая учетную запись угрозе атаки SIM swap. Злоумышленник, имеющий в своем распоряжении пароль жертвы, мог временно завладеть номером ее телефона, обойти двухфакторную аутентификацию по SMS и захватить контроль над учетной записью.
В течение последних двух лет с помощью вышеописанного способа было взломано немало учетных записей известных личностей, но руководство Twitter не считало необходимым разрешить своим пользователям отключать спорную опцию. Все изменилось 30 августа нынешнего года, когда с помощью SIM swap злоумышленники взломали учетную запись главы Twitter Джека Дорси. Хотя в данном случае преступники не обходили двухфакторную аутентификацию по SMS, руководство соцсети осознало всю опасность SIM swap.
Теперь пользователи могут отключать спорную опцию и использовать другие методы двухфакторной аутентификации. Также они могут отвязать от своей учетной записи номер телефона и при этом продолжать пользоваться функцией двухфакторной аутентификации.
Источник: securitylab.ru
