Nieuws

'2-factor authenticatie Twitter eenvoudig uit te schakelen'

maandag 27 mei 2013, 14:13 door Redactie, 2 reacties

Twitter introduceerde vorige week twee-factor authenticatie als aanvullende beveiliging voor gebruikers, maar de beveiligingsmaatregel is eenvoudig uit te schakelen. Twitter gebruikt sms als een manier om mobiele telefoonnummers aan het account toe te voegen of te verwijderen. "Een aanvaller kan via sms spoofing de twee-factor authenticatie uitschakelen als hij het nummer van het doelwit kent."

Dat zegt Sean Sullivan van het Finse F-Secure. Het probleem wordt nog vergroot doordat een aanvaller die toegang tot het account krijgt, bijvoorbeeld via phishing, twee-factor authenticatie voor zichzelf kan inschakelen. Het enige dat is vereist is een willekeurig telefoonnummer, sms spoofing en het woord 'go'.

Inschakelen
Aangezien er geen bevestigingscode voor het inschakelen van de twee-factor authenticatie vereist is, kan deze optie eenvoudig worden ingeschakeld. Als het slachtoffer zijn wachtwoord wil resetten, krijgt hij het bericht dat er een verificatiecode naar het opgegeven telefoonnummer is gestuurd.

Sullivan adviseert dan ook om de optie in te schakelen voordat iemand anders het doet. De beveiligingsexpert merkt op dat de meeste Twittergebruikers geen groot doelwit zijn. Toch hoopt hij dat er in de toekomst meer beveiligingsverbeteringen komen.

Europese Commissie gaat vliegtuighack onderzoeken

17-jarige hacker zet dodemansknop op FTP-server

Reacties (2)

27-05-2013, 15:48 door Anoniem

In vindt het op zichg prima al die extra beveiligingsmaatregelen maar zoals al gezegd als de aanvaller het tel.nmr van degene weet heb je mogelijk een groot probleem.Ik hoop dat Twitter,Facebook,Skype en soortgelijke websites dan ook een goede,goed bereikbare klantenservice (24/7) hebben die je account kunnen blokkeren dan wel opheffen/sluiten als die door iemand anders is overgenomen,want daar praten we dan over.Het moet mogelijk zijn om bijv een kopie van het paspoort te faxen zodat men weet met de echte account-eigenaar te maken te hebben en zodoende kan men dan de account blokkeren en opheffen als de controle over de account niet kan worden herverkregen.

27-05-2013, 16:47 door Anoniem

Jeetje wat een domme 2-factor methode zeg...
Ze zouden een SMS met een code naar het bij hen bekende nummer moeten sturen en dan de gebruiker
die code laten overtypen in het formulier.
Dan wordt het een stuk lastiger om in te breken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

'2-factor authenticatie Twitter eenvoudig uit te schakelen'

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren