فيديو: Authorities say 17-year-old Florida boy was "mastermind" of Twitter hack (سبتمبر 2024)
من أرض " إذا فقط… " إذا كانت وكالة أسوشيتيد بريس قد أقامت مصادقة ثنائية مع حساب تويتر الخاص بها ، فلن يتمكن المتسللون المؤيدون لسوريا من اختطاف الحساب وتعيث الفوضى.
فكرة جميلة ومرتبة ، ولكن في الواقع ، لا. في حين أن المصادقة ثنائية العوامل هي أداة قوية لتأمين حسابات المستخدمين ، إلا أنها لا تستطيع حل جميع المشكلات. إن وجود عاملين لن يساعدAP لأن المتسللين اقتحموا هجومًا تصيدًا. وقال آرون هيجبي ، مدير قسم تقنية المعلومات في PhishMe ، إن الخصوم سيجدون طريقة أخرى لخداع المستخدمين لتجاوز طبقة الأمان.
يوم الثلاثاء ، قام قراصنة مؤيدون لسوريا باختطاف حساب AP Twitter ونشروا تنبيهًا مزيفًا للأخبار يدعون فيه وقوع انفجار في البيت الأبيض وأن الرئيس قد أصيب. في الدقائق الثلاث أو الأربع التي سبقت معرفة موظفي AP لما حدث وقالوا إن القصة خاطئة ، شعر المستثمرون بالذعر وتسببوا في انخفاض مؤشر داو جونز الصناعي بأكثر من 148 نقطة. قدرت بلومبرج نيوز تراجع "مسح" 136 مليار دولار من مؤشر ستاندرد آند بورز 500.
كما هو متوقع ، انتقد عدد من خبراء الأمن على الفور تويتر لعدم تقديمه مصادقة ثنائية. وقال أندرو ستورمز ، مدير العمليات الأمنية في nCircle ، في رسالة بالبريد الإلكتروني: "يحتاج Twitter حقًا إلى نشر المصادقة ثنائية العوامل بسرعة. إنهما متخلفان عن السوق في هذا الصدد".
المجموعات مقابل الحسابات الفردية
تجعل المصادقة ثنائية العوامل من الصعب على المهاجمين اختطاف حسابات المستخدمين باستخدام أساليب القوة الغاشمة أو سرقة كلمات المرور عبر أساليب الهندسة الاجتماعية. يفترض أيضًا وجود مستخدم واحد فقط لكل حساب.
وقال شون سوليفان ، الباحث الأمني لدى F-Secure ، لـ SecurityWatch: "المصادقة ثنائية العوامل وغيرها من الإجراءات ستساعد في تقليل الاختراقات ضد الحسابات الفردية. ولكن ليس حسابات المجموعة".
AP ، مثلها مثل العديد من المنظمات الأخرى ، ربما كان لديها عدة موظفين ينشرون علىAP طوال اليوم. ماذا سيحدث في أي وقت يحاول شخص ما نشره على Twitter؟ تتطلب كل محاولة تسجيل دخول من الشخص الذي يمتلك الجهاز المسجل ، سواء كان هاتفًا ذكيًا أو رمزًا مميزًا للجهاز ، توفير رمز العامل الثاني. اعتمادًا على الآلية المعمول بها ، يمكن أن يكون هذا كل يوم ، كل بضعة أيام ، أو عند إضافة جهاز جديد.
وقال جيم فنتون ، ممثل منظمات المجتمع المدني في OneID ، لـ SecurityWatch: "أصبح هذا طريقًا مهمًا للغاية أمام الإنتاجية".
لنقل أنني أريد النشر إلىSecurityWatch. سأضطر إما إلى المراسلة الفورية أو الاتصال بزميلي الذي "يمتلك" الحساب للحصول على الكود ثنائي العامل. أو لم أضطر إلى تسجيل الدخول لمدة 30 يومًا لأن جهاز الكمبيوتر المحمول الخاص بي كان جهازًا معتمدًا ، ولكن اليوم هو اليوم الحادي والثلاثون. وعطلة نهاية الاسبوع. تخيل حقول الألغام الهندسة الاجتماعية المحتملة.
وقال سوليفان "ببساطة ، المصادقة ثنائية العامل لن تكون كافية لحماية الناس".
المصادقة الثنائية ليست علاجًا للجميع
وقال فنتون إن المصادقة ثنائية العوامل هي شيء جيد ، وهي أداة قوية ، لكنها لا تستطيع أن تفعل كل شيء ، مثل منع هجمات التصيد الاحتيالي. وقال فنتون إنه في الواقع ، في ظل حلول المصادقة المشتركة ثنائية العوامل ، يمكن خداع المستخدمين بسهولة لتوثيق الوصول دون إدراكه.
تخيل لو كنت قد بعثت برسالة إلى مديري: لا يمكنني تسجيل الدخول إلىsecuritywatch. ارسل لي كود
وقال Higbee من PhishMe إن المصادقة ثنائية العوامل تجعل من الصعب تصيد الحساب ، لكن لا تمنع نجاح الهجوم. على مدونة الشركة ، أوضح PhishMe كيف يتجاوز التصيد الاحتيالي عاملين فقط نافذة الهجوم.
أولاً ، ينقر المستخدم على رابط في رسالة بريد إلكتروني للتصيد الاحتيالي ، وينزل على صفحة تسجيل الدخول ، ويدخل كلمة المرور الصحيحة ورمز ثنائي العامل صالح على موقع الويب المزيف. في هذه المرحلة ، يجب على المهاجم فقط تسجيل الدخول قبل انتهاء صلاحية بيانات اعتماد تسجيل الدخول الصالحة. يجوز للمنظمات التي تستخدم رموز RSA تجديد رمز كل 30 ثانية ، ولكن بالنسبة لموقع التواصل الاجتماعي ، قد تكون فترة انتهاء الصلاحية عدة ساعات أو أيام.
"هذا لا يعني أن Twitter لا ينبغي أن ينفذ طبقة مصادقة أكثر قوة ، ولكنه يطرح أيضًا السؤال حول إلى أي مدى يجب أن يذهب؟" وقال هيبي ، مضيفا أن تويتر لم يكن أصلا للاستخدام الجماعي.
إعادة تعيين مشكلة أكبر
لن يعني تطبيق المصادقة الثنائية في الباب الأمامي القرفصاء إذا كان للباب الخلفي قفل بسيط - عملية إعادة تعيين كلمة مرور ضعيفة. وقال فينتون إن استخدام الأسرار المشتركة ، مثل اسم والدتك قبل الزواج ، لإنشاء الوصول إلى الحساب واستعادته "هو أخيل كعب ممارسات المصادقة الحالية".
عندما يعرف المهاجم اسم المستخدم ، تكون إعادة تعيين كلمة المرور مجرد اعتراض على إعادة تعيين البريد الإلكتروني. قد يعني هذا اقتحام حساب البريد الإلكتروني ، الأمر الذي قد يحدث بشكل جيد للغاية.
على الرغم من أن أسئلة تلميح كلمة المرور لها مشكلاتها الخاصة ، إلا أن Twitter لا يقدمها كجزء من عملية إعادة التعيين. كل ما يحتاجه أي شخص هو اسم المستخدم. بينما يوجد خيار "طلب معلومات شخصية لإعادة تعيين كلمة المرور الخاصة بي" ، إلا أن المعلومات الإضافية المطلوبة هي عناوين البريد الإلكتروني ورقم الهاتف التي يمكن الحصول عليها بسهولة.
وقال سوليفان "حسابات Twitter ستستمر في الاختراق ، ويحتاج تويتر إلى القيام بعدة أشياء لحماية مستخدميه - وليس فقط عاملين".
