马斯克执掌推特三周后,双因素身份认证出现漏洞
2022-11-16 09:36:1 Author: www.freebuf.com(查看原文) 阅读量:41 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

11月15日,据Info Risk Today报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。

该漏洞出现之际正值埃隆•马斯克(Elon Musk)执掌推特第三周,公司的主要安全合规人员离职,大量员工和承包商被解雇。

一位匿名研究人员向媒体透露,向推特验证服务发送“STOP”会导致关闭短信双因素认证,它会自动回复“您的设备已被移除,所有账户的短信双因素验证已被禁用。”

经ISMG验证,该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证,包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道,其沟通团队已解体。

账户安全一直是推特的痛处。2017年,十几岁的黑客接管了数十个知名账户,包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户,并在其账户中发布加密货币欺诈等信息。

纽约金融服务部(New York Department of Financial Services)认定,推特的内部安全协议薄弱,而且缺乏负责网络安全的高管。

在马斯克担任首席执行官期间,出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。

据路透社13日报道,推特早前推出的每月8美元蓝V用户付费认证订阅服务,导致假账号激增,已于11日被叫停。据报道,此前,推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来,启动大规模改革,于5日正式推出全新订阅服务,每月收费8美元,以向用户提供蓝V认证标记。报道称,该公司的安全团队曾事先警告马斯克,8美元并不能阻止假帐号。

参考链接:

https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475


文章来源: https://www.freebuf.com/articles/349902.html
如有侵权请联系:admin#unsafe.sh