Twitter’ın, ücretli Twitter Blue hizmetinin aboneleri dışındaki tüm kullanıcılar için SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) devre dışı bırakma konusundaki ani kararı, güvenlik uzmanlarını çileden çıkardı ve sosyal medya devinin, hizmetlerinin kullanıcılarını koruma konusunda zaten biraz şüpheli olan itibarını daha da zedeledi.
Twitter, 15 Şubat’ta duyurdu 30 gün içinde, ödeme yapan Twitter Blue aboneleri dışındaki herkes için kısa mesaj tabanlı – veya SMS tabanlı – 2FA’yı devre dışı bırakacağını. Şirket, “20 Mart 2023’ten sonra, Twitter Blue abonesi olmayanların metin mesajlarını 2FA yöntemi olarak kullanmasına artık izin vermeyeceğiz.” dedi. “O zaman, 2FA metin mesajının hala etkin olduğu hesaplar onu devre dışı bırakacak.”
Birkaç analist, hareketi şu anda Twitter hesaplarına erişirken iki faktörlü seçeneği kullanan milyonlarca kullanıcı için yanlış tasarlanmış ve zayıflatıcı korumalar olarak görüyor. Twitter’ın kısa mesaj tabanlı kimlik doğrulama mekanizmalarının saldırıya karşı bir şekilde duyarlı olduğu görüşüne katılanlar bile, Twitter’ın ikinci bir faktöre sahip olmamaktan çok daha fazla koruma sağladığını düşünüyor.
Twitter’ın Akıl almaz Hareketi
IT-Harvest baş araştırma analisti Richard Stiennon, “Optikler kesinlikle kötü,” diyor. “Bu hareket, California’daki bir senaryo çocuğunun, şifrelerini tahmin etmek için ünlü hesaplara karşı Karındeşen John’u çalıştırdığı 2008 yılına dayanan hesap ele geçirme saldırılarının poster çocuğu olan Twitter için daha iyi bir güvenlik için bir bedel ödüyor gibi görünüyor.”
Şirket, Twitter hesapları için hala 2FA’yı etkinleştirmek isteyen kullanıcıları ikinci faktör olarak bir kimlik doğrulama uygulaması veya güvenlik anahtarı/jeton kullanmayı düşünmeye çağırdı. Kimlik doğrulama uygulamaları, kullanıcıların iki faktörlü kimlik doğrulamayı etkinleştirdikleri bir hesaba erişirken parolalarına ek olarak kullanabilecekleri tek seferlik bir parola veya anahtar oluşturan mobil uygulamalardır. Örnekler arasında Google Authenticator, Microsoft Authenticator ve LastPass Authenticator sayılabilir.
Güvenlik anahtarları genellikle, kullanıcıların bir hesapta oturum açarken kimliklerini doğrulamak için kullanabilecekleri, USB donanım kilidi gibi fiziksel bir aygıttır. Twitter, “Bu yöntemler, kimlik doğrulama yöntemine fiziksel olarak sahip olmanızı gerektirir ve hesabınızın güvenliğini sağlamanın harika bir yoludur” dedi.
“Bir kimlik doğrulama uygulaması kullanmak daha iyidir [than text-based 2FA],” Steinnon, “ancak Twitter böyle bir uygulamayı bir zorunluluk haline getirip ücretsiz olarak sunmadığı sürece hiçbir zaman çok sayıda kullanıcı olmayacaktır.”
Metin Tabanlı 2FA Hakkında Sorular Ortaya Çıkarma
Sosyal medya şirketinin SMS kimlik doğrulamasını durdurma kararını açıklayan kısa açıklaması, ana motivasyon olarak sürecin güvenliğine ilişkin endişeleri ima etti: “Tarihsel olarak popüler bir 2FA biçimi olsa da, ne yazık ki telefon numarası tabanlı 2FA’nın kullanıldığını ve kötüye kullanıldığını gördük. – kötü aktörler tarafından.”
Örneğin, SMS tabanlı 2FA kimlik doğrulaması için mobil cihazların yaygın kullanımı, bir tehdit aktörünün kullanılan SMS kimlik doğrulama mesajlarına müdahale edebilmek için başka bir kişinin telefon numarasını SIM kartına aktardığı SIM değiştirme saldırılarında artışa neden oldu. 2FA için. Saldırganların SMS mesajlarını ele geçirmesine ve 2FA korumalı hesaplara girmek için kullanmasına izin veren mobil ağlardaki zayıflıklara ilişkin endişeler ve bunun daha güçlü belirteç ve uygulama tabanlı belirteç oluşturucularla değiştirilmesine yönelik çağrılar yıllarca sürdü.
Bununla birlikte, Stiennon ve diğerleri, bu açıklamayı, kullanmak isteyen herhangi biri için seçeneği devre dışı bırakmak için yeterli neden olmadığı için reddediyor. “Yüksek hedefli saldırılar için, SMS’lerin kararlı saldırganlar tarafından yakalanabileceği doğrudur” diyor ve bu tür saldırıların nadir olduğunu belirtiyor.
Gelir Arttırma Girişimi mi?
SANS Enstitüsü’nde yükselen güvenlik trendleri direktörü John Pescatore, Twitter’ın hamlesinin, bir bankanın, ücretsiz çek hesabı kullanıcılarının ATM makinesini kullanmak için ATM kartlarını değil, yalnızca PIN’lerini girmeleri konusunda ısrar etmesine biraz benzediğini söylüyor. “2FA olarak SMS mesajları, belirteçlerden, güvenilir uygulamalardan veya diğer kimlik avına dayanıklı formlardan daha az güvenli olsa da, yine de yeniden kullanılabilir şifrelerden çok daha güvenlidir” diyor.
Pesactore, Dark Reading’e “Yaptıkları şeyin tek gerekçesi, geliri artırma girişimidir” dedi. Aksi takdirde, sözde daha az güvenli bir kimlik doğrulamanın yalnızca ücretli aboneleri tarafından kullanılmasına neden izin versinler?
A şeffaflık raporu Aralık 2021’de yayınlanan Twitter, o sırada aktif Twitter hesaplarının yaklaşık %2,4’ünün 2FA’yı etkinleştirdiğini gösterdi. Bunların %74,4’ü SMS kimlik doğrulaması, %28,9’u kimlik doğrulama uygulaması ve %0,5’i güvenlik anahtarı kullandı. Bu rakamlara (en yakın tarihli) göre, Twitter’ın aktif hesaplarının yalnızca nispeten küçük bir kısmı Twitter’ın son kararından doğrudan etkilenmiş gibi görünüyor – ancak elbette benimseme 2021’den beri artmış olabilir. Yine de bazıları bunu neyin başka bir göstergesi olarak görüyor? Twitter’ın kullanıcı güvenliğine yönelik atılgan tavrı olarak algılıyorlar. Ne de olsa bu yılın başlarında, Twitter’da bariz bir API uç noktası uzlaşması, bir saldırganın yaklaşık 200 milyon Twitter kullanıcısının verilerini çalmasına ve bir yeraltı forumunda satışa sunmasına izin verdi.
Pescatore, “Twitter’ın güvenlik konusunda sürekli olarak zayıf bir sicili var” diyor. Örneğin geçen yıl, Federal Ticaret Komisyonu, şirketin yıllar öncesine dayanan mahremiyet ihlallerine neden olan sorunları çözmek için gerekli adımları atmaması nedeniyle 150 milyon dolarlık bir para cezası değerlendirdi, diyor. Bu ihlaller, Twitter’ın 2FA için topladığı telefon numaralarını ve e-posta adreslerini hedefli reklamlar sunmak için kullanmasıyla ilgiliydi.
Pescatore, “Yeni sahiplik altında, bu yıl önce 8 dolar ödemeye istekli herkese doğrulanmış kimlik statüsü vererek geliri artırmaya çalıştılar” diye ekliyor.
Mikroskobun Altına Girmek
Şirketin güvenlik sorunları yeterince kötü değilmiş gibi, Elon Musk’ın tartışmalı Twitter liderliği de şirketin her hareketini mercek altına aldı.
Omdia analisti Fernando Montenegro, “Bugünlerde Twitter’la ilgili her şeyde olduğu gibi, kararlarının daha geniş bağlamı, tüm siyasi yelpazeden birçok tartışmayı davet ediyor” diyor.
Son hamleyle, SMS 2FA’nın bazı saldırılara karşı kimlik doğrulayıcı uygulamalara veya güvenlik anahtarlarına göre daha az dirençli olduğu konusunda genel bir anlayış var. Bu nedenle, kullanıcıları “daha iyi” MFA’ya yönlendirmek, bu saldırılara karşı dayanıklılığı potansiyel olarak geliştirmek için iyi bir şeydir, diye ekliyor. Karadağ, “Ayrıca, abone olmayan hesaplara artık MFA SMS mesajları göndermeyecekleri için Twitter’a para kazandıran bir karar.” dedi.
Buradaki kilit soru, insanların SMS’i kurulumu daha kolay olduğu için mi yoksa alternatifleri bilmedikleri için mi kullandıklarıdır. “Birincisi ve Twitter süreci kolaylaştırmazsa, o zaman güvenlik zarar görebilir. İkincisi ise, o zaman kararları aslında daha fazla insanın MFA için diğer seçenekleri bilmesine ve bunları etkinleştirmesine neden olabilir.”