freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    马斯克执掌推特三周后,双因素身份认证出现漏洞
    2022-11-16 09:36:01
    所属地 上海

    11月15日,据Info Risk Today报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。

    该漏洞出现之际正值埃隆•马斯克(Elon Musk)执掌推特第三周,公司的主要安全合规人员离职,大量员工和承包商被解雇。

    一位匿名研究人员向媒体透露,向推特验证服务发送“STOP”会导致关闭短信双因素认证,它会自动回复“您的设备已被移除,所有账户的短信双因素验证已被禁用。”

    经ISMG验证,该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证,包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道,其沟通团队已解体。

    账户安全一直是推特的痛处。2017年,十几岁的黑客接管了数十个知名账户,包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户,并在其账户中发布加密货币欺诈等信息。

    纽约金融服务部(New York Department of Financial Services)认定,推特的内部安全协议薄弱,而且缺乏负责网络安全的高管。

    在马斯克担任首席执行官期间,出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。

    据路透社13日报道,推特早前推出的每月8美元蓝V用户付费认证订阅服务,导致假账号激增,已于11日被叫停。据报道,此前,推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来,启动大规模改革,于5日正式推出全新订阅服务,每月收费8美元,以向用户提供蓝V认证标记。报道称,该公司的安全团队曾事先警告马斯克,8美元并不能阻止假帐号。

    参考链接:

    https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者