Twitter introduceerde vorige week twee-factor authenticatie als aanvullende beveiliging voor gebruikers, maar de beveiligingsmaatregel is eenvoudig uit te schakelen. Twitter gebruikt sms als een manier om mobiele telefoonnummers aan het account toe te voegen of te verwijderen. "Een aanvaller kan via sms spoofing de twee-factor authenticatie uitschakelen als hij het nummer van het doelwit kent."

Dat zegt Sean Sullivan van het Finse F-Secure. Het probleem wordt nog vergroot doordat een aanvaller die toegang tot het account krijgt, bijvoorbeeld via phishing, twee-factor authenticatie voor zichzelf kan inschakelen. Het enige dat is vereist is een willekeurig telefoonnummer, sms spoofing en het woord 'go'.

Inschakelen
Aangezien er geen bevestigingscode voor het inschakelen van de twee-factor authenticatie vereist is, kan deze optie eenvoudig worden ingeschakeld. Als het slachtoffer zijn wachtwoord wil resetten, krijgt hij het bericht dat er een verificatiecode naar het opgegeven telefoonnummer is gestuurd.

Sullivan adviseert dan ook om de optie in te schakelen voordat iemand anders het doet. De beveiligingsexpert merkt op dat de meeste Twittergebruikers geen groot doelwit zijn. Toch hoopt hij dat er in de toekomst meer beveiligingsverbeteringen komen.