كيفية اختراق المصادقة تويتر عاملين

لقد أشرنا إلى بعض المشكلات المتعلقة بمصادقة Twitter الجديدة المكونة من عاملين. على سبيل المثال ، نظرًا لأنه يمكن ربط رقم هاتف واحد فقط بحساب ، فلن تعمل مصادقة Twitter ثنائية العوامل في مؤسسات مثل Associated Press أو The Onion أو The Guardian. تم اختراقهم لا يزال من الممكن اختراقهم بنفس الطريقة. ومع ذلك ، يشير خبراء الأمن إلى أن المشكلة أسوأ من ذلك ، إنها أسوأ بكثير.

برنامج تويتر المكون من خطوتين

اسأل جوش ألكساندر ، الرئيس التنفيذي لشركة المصادقة Toopher ، كيف ستذهب إلى قرصنة Twitter الآن بعد أن أصبحت المصادقة ثنائية العوامل موجودة. سيخبرك أنك تقوم بذلك بالطريقة نفسها التي قمت بها قبل ظهور المصادقة ثنائية العوامل.

في مقطع فيديو قصير قصير حول مصادقة Twitter ثنائية العوامل ، يهنئ ألكساندر Twitter للانضمام إلى "برنامج من خطوتين للأمان" واتخاذ الخطوة الأولى ، والاعتراف بوجود مشكلة. ثم تابع لتوضيح كم هو قليل المصادقة المستندة إلى SMS يساعد عاملين. وقال ألكساندر "حلك الجديد يترك الباب مفتوحًا على مصراعيها ، لنفس الهجمات التي تتعرض لها سمعة الرجال والتي تهدد سمعة مصادر الأخبار والمشاهير الرئيسيين."

تبدأ العملية بإرسال متسلل إلى بريد إلكتروني مقنع ، رسالة تنصحني بتغيير كلمة مرور Twitter الخاصة بي ، مع رابط إلى موقع Twitter مزيف. بمجرد قيامي بذلك ، يستخدم المتسلل بيانات اعتماد تسجيل الدخول الملتقطة للتواصل مع Twitter الحقيقي. يرسل Twitter رمز التحقق وأدخله ، وبالتالي يعطيه للمتسلل. في هذه المرحلة ، يتم حساب الحساب. شاهد الفيديو - يعرض العملية بوضوح تام.

ليس من المستغرب أن تقدم شركة Toopher نوعًا مختلفًا من المصادقة ثنائية العامل القائمة على الهاتف الذكي. يحتفظ حل Toopher بمواقعك المعتادة وأنشطتك المعتادة ، ويمكن ضبطه للموافقة تلقائيًا على المعاملات المعتادة. بدلاً من إرسال رسالة نصية إليك لإكمال إحدى المعاملات ، يرسل إشعارًا بالدفع مع تفاصيل المعاملة بما في ذلك اسم المستخدم والموقع والحساب المعني. لم أختبرها ، لكنها تبدو معقولة.

تجنب الاستيلاء على عاملين

يفترض نجم الرماية الأمني ​​ميكو هيبنن من إف سيكيور سيناريو أكثر روعة. إذا لم تقم بتمكين المصادقة ثنائية العامل ، فيمكن للمصلح الذي يمكنه الوصول إلى حسابك إعداده لك ، باستخدام هاتفه الخاص.

في منشور بالمدونة ، يشير Hypponen إلى أنه إذا قمت بإرسال التغريدات عبر الرسائل القصيرة ، فسيكون لديك بالفعل رقم هاتف مرتبط بحسابك. من السهل وقف هذا الارتباط ؛ ما عليك سوى إرسال STOP إلى الرمز المختصر Twitter لبلدك. لاحظ ، مع ذلك ، أن القيام بذلك يوقف المصادقة الثنائية. إرسال GO تشغيله مرة أخرى.

مع وضع ذلك في الاعتبار ، يفترض Hypponen تسلسلًا مخيفًا للأحداث. أولاً ، يتمكن المتسلل من الوصول إلى حسابك ، ربما عبر رسالة تصيّد رمح. ثم ، من خلال إرسال رسالة نصية GO من هاتفه الخاص إلى الرمز القصير المناسب واتباع بعض المطالبات ، يقوم بتهيئة حسابك بحيث يأتي رمز المصادقة ثنائي العامل إلى هاتفه. أنت محبوس.

لن تعمل هذه التقنية إذا قمت بالفعل بتمكين المصادقة الثنائية. "ربما يجب عليك تمكين 2FA لحسابك ،" اقترح Hypponen ، "قبل قيام شخص آخر بذلك نيابة عنك." ليس واضحًا تمامًا بالنسبة لي لماذا لم يتمكن المهاجم أولاً من استخدام خداع الرسائل القصيرة SMS لإيقاف المصادقة ثنائية العامل ثم متابعة الهجوم. هل يمكن أن أكون أكثر بجنون العظمة من ميكو؟