Bu hafta Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu (SEC), bir bilgisayar korsanının X sosyal medya hesabına erişim sağladığı ve Bitcoin ile ilgili merakla beklenen bir SEC duyurusu hakkında sahte bilgiler yayınladığı utanç verici ve piyasayı harekete geçiren bir ihlale maruz kaldı. Ajans, hesabının kontrolünü yeniden ele geçirdi ve gönderiyi bir saatten kısa bir süre içinde sildi, ancak özellikle Google’ın sahibi olduğu önde gelen ve saygın güvenlik firması Mandiant’ın benzer bir olayda X hesabının tehlikeye girdiği göz önüne alındığında durum rahatsız edici. geçen hafta.
Her vakada tam olarak ne olduğuna ilişkin ayrıntılar hâlâ ortaya çıkıyor, ancak hesabın ele geçirilmesini mümkün kılan ortak noktalar ve kendinizi korumanın yolları var.
En önemlisi, her iki hesapta da devralma sırasında “iki faktörlü kimlik doğrulama” olarak bilinen dijital koruma devre dışıydı. 2FA olarak da bilinen savunma, kişinin oturum açma bilgilerine ek olarak dönen bir sayısal kod veya fiziksel donanım kilidi gerektirir; dolayısıyla her şey yalnızca bir kullanıcı adı ve parolaya bağlı değildir. SEC, X’in Şubat 2023’te yaptığı politika değişikliği sonucunda, yalnızca “Mavi” abonelik için ödeme yapan hesapların kısa mesaj yoluyla gönderilen iki faktörlü kodlara erişebileceğini öngören politika değişikliğinin bir sonucu olarak, iki faktörün yanlışlıkla kapatılıp kapatılmadığını henüz söylemedi. Mandiant Çarşamba günü ima edildi X hesabında korumanın açık olmamasının nedeninin bu değişiklik olduğunu belirterek, “Normalde 2FA bunu hafifletirdi ancak bazı takım geçişleri ve X’in 2FA politikasındaki değişiklik nedeniyle yeterince korunamadık.”
Mandiant, bilgisayar korsanlarının X hesabını koruyan şifreyi “kaba kuvvet” saldırısında tahmin edebildiklerini söyledi. X’in kendisi Salı günü söyledi SEC hesabının hacklenmesinin, “kimliği belirsiz bir kişinin üçüncü bir taraf aracılığıyla @SECGov hesabıyla ilişkili bir telefon numarasının kontrolünü ele geçirmesi” sonucu gerçekleştiğini söyledi.
Bu iki olay, X hesabınızı kilitlemek için atabileceğiniz en önemli adımların önemli bir listesini ortaya koyuyor. Öncelikle hesabınızın güçlü ve benzersiz bir şifreyle korunduğundan emin olun. İkinci olarak, hesabınız için iki faktörlü özelliği açın veya bu özelliğin zaten açık olduğunu düşünüyorsanız emin olmak için kontrol edin. X’in insanlara iki faktörlü temel bir form için ödeme yapma hamlesi sorunlu. Bu aynı zamanda kafa karışıklığına da yol açtı, çünkü şirket ücretsiz kullanıcıları iki faktörlü SMS’den uzaklaşmaya teşvik etti, ancak görünüşe göre bunu yapmayanlar için korumayı tamamen kapattı. Bu muhtemelen bir grup kullanıcıyı iki faktörlü kimlik doğrulamanın açık olduğunu düşündükleri ancak gerçekte böyle bir durumda olmadıkları bir durumda bırakmıştır.
İki faktörün açık olduğunu doğrulamak veya ilk kez etkinleştirmek için X hesabınızda oturum açın, şuraya gidin: Ayarlar ve gizlilikDaha sonra Güvenlik ve hesap erişimi, Güvenlikve daha sonra İki faktörlü kimlik doğrulama. (Ayrıca yapabilirsiniz Zaten X’te oturum açtıysanız burayı tıklayın). Bu ekranda, kod oluşturma uygulamasıyla iki faktörlü kimlik doğrulamayı veya fiziksel bir güvenlik anahtarını kullanmayı seçebilirsiniz. İkinci faktörünüze erişiminizi kaybetseniz bile, X’te oturum açmak için hesabınızın yedek kodlarını da oluşturabilirsiniz.
Son olarak, X hesabınıza bağlı, hesap kurtarma için kullanılabilecek bir telefon numarasının olup olmadığını kontrol edin. Twitter, yüksek profilli hesapları “doğrulamak” için telefon numaralarını kullanıyor ve ayrıca “şifrenizi sıfırlamak için hesabınızla ilişkili telefon numarasını veya e-posta adresini vermeniz gereken” “Ek şifre koruması” adı verilen bir özellik sunuyor. Ancak öyle görünüyor ki, SEC, X hesabıyla ilişkilendirilmiş bir telefon numarasına sahip olarak kendisini daha büyük bir riske atıyordu; çünkü saldırganlar, SIM takası olarak bilinen bir saldırı kullanarak öncelikle ilgili telefon numarasını ele geçirerek hesabın kontrolünü ele geçirebiliyorlardı. .
Uzun süredir hesap güvenliği araştırmacısı ve SocialProof Security CEO’su Rachel Tobac, “Twitter’ın riskli kısa mesaj tabanlı şifre sıfırlama akışıyla SIM değiştirme tehdidinden kaçınmak için telefon numaranızı Twitter’dan tamamen kaldırın” diyor. X kullanıcılarının “2FA’yı açması (en azından uygulama tabanlı olmasını öneririm) ve hesapta güçlü bir şifreye sahip olduğunuzdan emin olması gerektiğini” ekliyor.
Her ne kadar X, güçlü hesap güvenliğini sağlamak için işleri daha karmaşık hale getirmiş olsa da, SEC ve Mandiant’ın hatalarından ders almaya değer.