- Статус
- Offline
- Регистрация
- 23 Фев 2017
- Сообщения
- 332
- Реакции
- 48
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
С помощью спуфинга исследователям удалось заставить Twitter принять их номер телефона за номер телефона жертвы.
Для взлома чужой учетной записи в Twitter достаточно лишь знать номер телефона жертвы,предупреждаютисследователи компании Insinia Security. Это открывает большие перспективы как для рядовых киберпреступников, так и для хакерских групп, спонсируемых государством.
По словам исследователей, проблема связана с тем, как Twitter обрабатывает тексты, публикуемые с номера телефона, привязанного к учетной записи. Если злоумышленник сможет выдать свой номер телефона за номер телефона жертвы, он получит полный контроль над ее учетной записью.
«Нам пришлось перебирать номера! Это было на удивление просто, но мы не расскажем, как именно мы это делали», - пишут специалисты Insinia Security.
Затем исследователи подделали SMS-команды, отправляемые Twitter с этих номеров, следуя официальнойинструкциисо страницы поддержки самой соцсети. Благодаря этому им удалось получить управление над атакованными учетными записями, что дало им возможность публиковать твиты, отправлять личные сообщения, делать ретвиты, ставить отметки «Нравится», подписываться на страницы, удаляться из подписчиков и пр.
Лежащая в основе атаки уязвимостьбыла обнаруженаранее в этом месяце исследователем безопасности Ричардом де Вером (Richard De Ver).
Для предотвращения описанных выше спуфинг-атак пользователям рекомендуется удалить свой номер телефона из учетной записи в Twitter. Кроме того, соцсети следует полностью отказаться от подобного функционала, поскольку указанный в учетной записи номер телефона также используется для двухфакторной аутентификации. Также соцсети стоит отвязать номер телефона и не позволять автоматически публиковать твиты с номера, используемого для двухфакторной аутентификации.
