Едва лишь Twitter ввели на своём сайте двухэтапную авторизацию, как специалисты мира IT обнаружили способ её обхода.
В частности, «прорехой» в двухэтапной системе защиты стала процедура её активации. Пользователю достаточно указать номер телефона на сайте, и нажать кнопку «OK» – при этом от него даже не требуется ввести код, пришедший на телефон.
Эксперт Шон Салливан (Sean Sullivan) из компании F-Secure отыскал сравнительно простой способ обхода этой якобы непроницаемой защиты.
Непроницаемость двухэтапной авторизации Twitter оказалась пустышкой
В частности, уязвимым местом двухэтапной авторизации в Twitter оказалась услуга получения новых записей в Twitter прямо на мобильный телефон. Её можно активировать или отключить одновременно с самой двухэтапной авторизацией.
Таким образом, хакеру достаточно просто отправить SMS-сообщение со словом STOP на номер компании Twitter в определенной стране, указав в качестве обратного номера номер жертвы, и он отключает жертве двухэтапную авторизацию. Эксперт вполне успешно проверил данный метод, отключив двухэтапную защиту на чужой учётной записи.
Кроме того, пользователь, защищённый через двухэтапную авторизацию, обычно чувствует себя в безопасности и выбирает более простой пароль, который несложно подобрать. А войдя в учётную запись, хакер легко активирует двухэтапную систему защиты уже на свой номер телефона. Любопытно, что этот метод действует даже на пользователей, которые вообще не подключали себе двухэтапную авторизацию.