马斯克执掌推特三周后,双因素身份认证出现漏洞马斯克执掌推特三周后,双因素身份认证...
source link: https://www.51cto.com/article/722799.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
马斯克执掌推特三周后,双因素身份认证出现漏洞马斯克执掌推特三周后,双因素身份认证出现漏洞
11月15日,据Info Risk Today报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。
该漏洞出现之际正值埃隆•马斯克(Elon Musk)执掌推特第三周,公司的主要安全合规人员离职,大量员工和承包商被解雇。
一位匿名研究人员向媒体透露,向推特验证服务发送“STOP”会导致关闭短信双因素认证,它会自动回复“您的设备已被移除,所有账户的短信双因素验证已被禁用。”
经ISMG验证,该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证,包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道,其沟通团队已解体。
账户安全一直是推特的痛处。2017年,十几岁的黑客接管了数十个知名账户,包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户,并在其账户中发布加密货币欺诈等信息。
纽约金融服务部(New York Department of Financial Services)认定,推特的内部安全协议薄弱,而且缺乏负责网络安全的高管。
在马斯克担任首席执行官期间,出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。
据路透社13日报道,推特早前推出的每月8美元蓝V用户付费认证订阅服务,导致假账号激增,已于11日被叫停。据报道,此前,推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来,启动大规模改革,于5日正式推出全新订阅服务,每月收费8美元,以向用户提供蓝V认证标记。报道称,该公司的安全团队曾事先警告马斯克,8美元并不能阻止假帐号。
参考链接:https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK