Micro-blogging dienst Twitter heeft een beveiligingslek gedicht waardoor gebruikers berichten op de pagina's van anderen konden plaatsen, de update werkt echter alleen in de Verenigde Staten. Twitter laat gebruikers ook via hun mobiele telefoon bloggen, door een SMS-bericht te sturen kan men berichten op Twitter.com plaatsen. Een probleem met de authenticatie zorgde ervoor dat kwaadwillenden alleen het mobiele nummer van hun slachtoffer moesten weten om in zijn naam berichten te plaatsen. Via SMS spoofingsites zoals my-cool-sms.com of phonytext.com kan men een willekeurig nummer in het afzenderveld plaatsen.

Naast het plaatsen van nepberichten kon een aanvaller slachtoffers ook andere Twitter gebruikers laten volgen. Het probleem is echter niet nieuw, aangezien beveiligingsonderzoeker Nitesh Dhanjani twee jaar geleden al voor een soortgelijke dreiging waarschuwde.

Ontkenning
Blogger Brian Krebs besloot Twitter te waarschuwen, maar die ontkende het probleem. Mede-oprichter Biz Stone weigerde ook om een demonstratie van de aanval te bekijken. "Je informatie klopt niet. We hebben in april 2007 al een PINcode als bescherming voor gebruikers buiten de VS toegevoegd. Telecomaanbieders in de VS hebben hun eigen systemen om SMS-spoofing te blokkeren", aldus Stone. Voor aanvallers was het toch mogelijk om via een internationaal nummer gewoon berichten naar Amerikaanse gebruikers te sturen, zonder hierbij een PINcode in te voeren.

Toen Krebs duidelijk maakte dat de aanval via internationale nummers wel werkte, bond Stone in en besloot het probleem meteen op te lossen. De oplossing werkt alleen in de Verenigde Staten, een eenvoudige test wijst uit dat het probleem in zowel Groot-Brittannië als Duitsland nog steeds aanwezig is.

Twee-factor authenticatie
Volgens onderzoeker Lance James, die het probleem ontdekte, is dit slechts één voorbeeld van de kwetsbaarheid van twee-factor authenticatie. "Als je een verbinding tussen mobiele apparaten en het web hebt, zijn er altijd dit soort problemen tussen vertrouwde apparaten. Mensen moeten beseffen dat deze aanpak niet foutloos is. Een kwetsbaarheid in de ene technologie kan een aanvaller het hele ding laten breken."