Dolandırıcılık Yönetimi ve Siber Suçlar , Kimlik ve Erişim Yönetimi , Güvenlik Operasyonları
Karar, Twitter Hesaplarının Daha Az Güvenli Olacağına Yönelik Endişelere Yol Açıyor
Bay Mihir (MihirBagwe) •
20 Şubat 2023
Twitter, birçok müşterinin eskisinden daha az güvende olacağına dair endişelere yol açan bir kararla, 20 Mart’tan itibaren ödeme yapan müşteriler dışındaki herkes için SMS ikinci faktör kimlik doğrulamasını kapatacağını söylüyor.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlanma
Sosyal ağ uzanmış yöntemin güvenliğiyle ilgili endişeler nedeniyle Twitter Blue aboneleri dışında artık SMS ikinci faktörlü kimlik doğrulama sunmayacağına dair bir duyuru.
Şirket bir blogda “Tarihsel olarak popüler bir 2FA biçimi olsa da, ne yazık ki telefon numarası tabanlı 2FA’nın kötü kişiler tarafından kullanıldığını – ve kötüye kullanıldığını – gördük.”
Şirketin sahibi Elon Musk, “2FA için ücretsiz kimlik doğrulama uygulamalarının kullanımı ücretsiz olmaya devam edecek ve SMS’ten çok daha güvenli olacak” dedi. tweet attı.
Aslında güvenlik uzmanları, SIM kart değiştirme gibi saldırılara karşı savunmasız olan SMS’in yanı sıra diğer çok faktörlü kimlik doğrulama biçimlerini tercih etmektedir. 2017’de Ulusal Standartlar ve Teknoloji Enstitüsü, kısa mesajla gönderilen tek seferlik kodların kullanımdan kaldırılmasını önerdi. 2020’de bilgi işlem devi Google, hesap oturumu açmak için ikinci bir faktör olarak cihazdaki istemlere geçti. Uzmanlar ayrıca, bir USB veya düşük enerjili kablosuz sinyal yoluyla şifrelenmiş belirteçleri ileten hesaplara bağlı fiziksel cihazlar olan güvenlik anahtarlarını da uzun süredir lanse ediyor.
Ancak duyuru, esas olarak siber güvenlik uzmanlarının Twitter’a – genellikle Twitter aracılığıyla – kusurlu SMS ikinci faktörlü kimlik doğrulamasının hiç olmamasından daha iyi olduğunu söylemesine yol açtı.
“Fazla mesai, insanları SMS 2FA’dan (bu kişi hedefli SIM değiştirme saldırılarına yönelik yüksek tehdit model bc’ye sahipse bu bir risk olabilir) uygulama tabanlı MFA’ya taşımak istiyoruz – evet, rüya bu. 2FA’ya kayıtlarını silin veya SMS 2FA için ödeme yapmalarını sağlayın” tweet attı SocialProof Security CEO’su ve Women in Security and Privacy başkanı Rachel Tobac.
Twitter’dan Numaralar göstermek aktif Twitter hesaplarının %2,6’sının ikinci faktörlü kimlik doğrulamayı etkinleştirdiği. Bunların yaklaşık dörtte üçü, ikinci faktörlü kimlik doğrulama yöntemi olarak SMS’i seçti.
Tobac’ın tahminine göre, SMS ikinci faktörlü kimlik doğrulamadan zorla kaydı silinen kullanıcıların birçoğu başka bir yöntem kurmak için zaman ayırmaz.
Darktrace tehdit analizi küresel başkanı Toby Lewis, “Anında erişilebilen bir 2FA formunun kaybı, kullanıcıların aşina olmadıkları veya anlamadıkları bir uygulamaya geçiş yapmak yerine büyük olasılıkla 2FA’yı tamamen kapatmalarına neden olacaktır.”
Musk’tan bir tweet, güvenliğin tek endişesi olmadığını öne sürdü. “Twitter, telefon şirketleri tarafından yılda 60 milyon dolarlık sahte 2FA SMS mesajları nedeniyle dolandırılıyor” yazdı. Musk, şirketin mülkiyetini üstlendiğinden beri toplu işten çıkarmalar da dahil olmak üzere bir dizi maliyet düşürücü hamle gerçekleştirdi (bkz. Twitter, CISO’nun Kaybından Sonra Düzenleyici Riski Artırdı). ofisleri, Bloomberg bildirdi.