Το Twitter ανακοίνωσε χθες ότι οι χρήστες θα έχουν πλέον τη δυνατότητα να διαλέξουν μια διαφορετική μέθοδο για τον έλεγχο ταυτότητας. Μέχρι τώρα, ήταν προεπιλεγμένος ο έλεγχος ταυτότητας δύο παραγόντων (2FA) που βασίζεται σε SMS. Τώρα οι χρήστες θα μπορούν να απενεργοποιήσουν αυτή την επιλογή και να επιλέξουν μια εναλλακτική λύση (μόνο), όπως μια εφαρμογή ελέγχου ταυτότητας που προσφέρει έναν κωδικό «μιας χρήσης» (OTP- OTP mobile authenticator app) ή ένα hardware security key.
Μέχρι χθες, δεν υπήρχε αυτή η δυνατότητα.
Οι χρήστες είχαν το δικαίωμα να επιλέξουν αν θέλουν να γίνεται ο έλεγχος ή όχι. Από τη στιγμή, όμως, που επέλεγαν να γίνεται έλεγχος, η μόνη επιλογή που είχαν το 2FA με SMS. Σε αυτή την περίπτωση, θα έπρεπε να να καταχωρήσουν έναν αριθμό τηλεφώνου και να τον συνδέσουν με τον Twitter λογαριασμό τους.
Υπήρχε και η δυνατότητα χρήσης ενός OTP mobile authenticator app ή ενός hardware security key, όμως, έπρεπε πρώτα να ενεργοποιηθεί το 2FA με βάση το SMS και δεν υπήρχε δυνατότητα απενεργοποίησης.
Ακόμα κι αν ο χρήστης δεν χρησιμοποιούσε ποτέ το 2FA, αυτό ήταν ενεργό. Όμως, υπάρχει ένα πρόβλημα με αυτό. Αφού η επιλογή ήταν μόνιμα ενεργοποιημένη υπήρχε ο κίνδυνος παραβίασης του λογαριασμού από επιθέσεις, που είναι γνωστές ως «SIM swaps». Γιατί να υπάρχει αυτός ο κίνδυνος από τη στιγμή που η μέθοδος ελέγχου δεν χρησιμοποιείται;
Οι επιτιθέμενοι θα μπορούσαν να μάθουν με κάποιο τρόπο το κωδικό πρόσβασης των χρηστών, να κάνουν μια SIM swap επίθεση, να αποκτήσουν πρόσβαση στο τηλέφωνο, να βρουν τον κωδικό στο μήνυμα και τελικά να αποκτήσουν πρόσβαση στο λογαριασμό στο Twitter.
Τα τελευταία δύο χρόνια, πολλοί λογαριασμοί χρηστών παραβιάστηκαν με αυτό τον τρόπο. Ωστόσο, το Twitter δεν είχε κάνει καμία αλλαγή στο σύστημα ελέγχου ταυτότητας.
Το ενδεχόμενο αλλαγής ήρθε στο προσκήνιο στα τέλη Αυγούστου, όταν κάποιοι hackers απέκτησαν πρόσβαση στο λογαριασμό του Jack Dorsey, CEO του Twitter, πραγματοποιώντας μια SIM swap επίθεση.
Στη συγκεκριμένη περίπτωση, οι hackers δεν παρέκαμψαν το 2FA. Το Twitter, όμως, κατάλαβε τον κίνδυνο μιας τέτοιας επίθεσης. Άρχισε λοιπόν να σκέφτεται τι θα μπορούσε να κάνει για να προσφέρει μεγαλύτερη ασφάλεια στους χρήστες του.
Από χθες, οι χρήστες έχουν τη δυνατότητα να απενεργοποιήσουν το 2FA που βασίζεται σε SMS και να επιλέξουν μια ασφαλέστερη μέθοδο ελέγχου ταυτότητας.
Επομένως, οι χρήστες του Twitter μπορούν τώρα να διαγράψουν τον αριθμό τηλεφώνου από το λογαριασμό τους, ωστόσο θα είναι ακόμα σε θέση να χρησιμοποιούν το 2FA. Επίσης, με αυτόν τον τρόπο ελαχιστοποιούνται οι πιθανότητες μιας SIM swapping επίθεσης.
Το Twitter ανακοίνωσε την αλλαγή αυτή χθες, αλλά έχει ήδη γίνει δοκιμή.
