Hoe de tweefactorauthenticatie van Twitter te hacken

We hebben gewezen op enkele problemen met de nieuwe tweefactorauthenticatie van Twitter. Omdat bijvoorbeeld slechts één telefoonnummer kan worden gekoppeld aan een account, werkt Twitter's tweefactorauthenticatie niet voor organisaties zoals de Associated Press, The Onion of The Guardian. Ze werden gehackt; ze kunnen nog steeds opnieuw op dezelfde manier worden gehackt. Beveiligingsexperts geven echter aan dat het probleem erger is, veel erger.

Tweestappenprogramma van Twitter

Vraag Josh Alexander, CEO van authenticatiebedrijf Toopher, hoe je Twitter zou gaan hacken nu tweefactorauthenticatie aanwezig is. Hij zal je vertellen dat je het precies hetzelfde doet als vóór de komst van tweefactorauthenticatie.

In een korte, grappige video over de tweefactorauthenticatie van Twitter, feliciteert Alexander Twitter met zijn deelname aan een "tweestapsbeveiligingsprogramma" en het nemen van de eerste stap, en geeft toe dat er een probleem bestaat. Vervolgens illustreert hij hoe weinig de op sms gebaseerde tweefactorauthenticatie helpt. "Uw nieuwe oplossing laat de deur wijd open", zei Alexander, "voor dezelfde man-in-the-middle-aanvallen die de reputatie van belangrijke nieuwsbronnen en beroemdheden in gevaar brachten."

Het proces begint met een hacker die een overtuigende e-mail verzendt, een bericht dat me adviseert om mijn Twitter-wachtwoord te wijzigen, met een link naar een nep-Twitter-site. Als ik dat eenmaal heb gedaan, gebruikt de hacker mijn vastgelegde inloggegevens om verbinding te maken met de echte Twitter. Twitter stuurt me een verificatiecode en ik voer deze in en geef deze aan de hacker. Op dit moment wordt het account gepwnd. Bekijk de video - het toont het proces heel duidelijk.

Het is geen verrassing dat Toopher een ander soort op smartphone gebaseerde tweefactorauthenticatie biedt. De Toopher-oplossing houdt uw gebruikelijke locaties en gebruikelijke activiteiten bij en kan worden ingesteld om gebruikelijke transacties automatisch goed te keuren. In plaats van u een code te sms'en om een ​​transactie te voltooien, verzendt deze een pushmelding met details van de transactie, inclusief de gebruikersnaam, de site en de betreffende berekening. Ik heb het niet getest, maar het ziet er verstandig uit.

Vermijd overname met twee factoren

Beveiligingsrockstar Mikko Hypponnen van F-Secure vormt een nog nijpender scenario. Als u tweefactorauthenticatie niet hebt ingeschakeld, kan een malefactor die toegang krijgt tot uw account, deze voor u instellen met behulp van zijn eigen telefoon.

In een blogpost wijst Hypponen erop dat als je ooit tweets via sms verzendt, je al een telefoonnummer hebt dat aan je account is gekoppeld. Het is gemakkelijk om die associatie te stoppen; sms gewoon STOP naar de Twitter-shortcode voor uw land. Merk echter op dat hiermee ook tweefactorauthenticatie wordt gestopt. GO wordt ingeschakeld en opnieuw ingeschakeld.

Met dit in gedachten stelt Hypponen een enge reeks gebeurtenissen voor. Eerst krijgt de hacker toegang tot uw account, misschien via een spear phishing-bericht. Vervolgens, door GO vanaf zijn eigen telefoon naar de juiste korte code te sms'en en een paar prompts te volgen, configureert hij uw account zodat de tweefactorauthenticatiecode naar zijn telefoon komt. Je bent buitengesloten.

Deze techniek werkt niet als u tweefactorauthenticatie al hebt ingeschakeld. "Misschien moet u de 2FA van uw account inschakelen, " suggereerde Hypponen, "voordat iemand anders het voor u doet." Het is me niet helemaal duidelijk waarom de aanvaller niet eerst sms-spoofing kon gebruiken om tweefactorauthenticatie te STOPPEN en vervolgens door te gaan met de aanval. Kan ik meer paranoïde zijn dan Mikko?