Twitter ввел двухступенчатую систему подтверждения личности пользователей

Администрация сервиса микроблогов Twitter сообщила о том, что на ресурсе вводится двухступенчатая система проверки подлинности пользователей. Начиная с 23 мая юзерам предлагается, помимо ввода логина и пароля, подтверждать свою личность через ввод шестизначного кода, который будет отправляться в виде sms-сообщения.

«Ежедневно все больше людей заходят в Twitter. Как правило, в сеть заходят подлинные владельцы аккаунтов, но иногда мы слышим, что аккаунты пользователей бывают скомпрометированы через взлом пароля или фишинговые схемы», — объясняют в компании причину ввода нового инструмента безопасности.

Запустить дополнительную функцию проверки подлинности пользователя можно в настройках сервиса, поставив галочку около соответствующего пункта в разделе «Безопасность учетной записи». После этого пользователю будет предложено ввести номер своего мобильного телефона, куда и будет приходить код каждый раз, когда он будет снова заходить на страницу ресурса под своим аккаунтом.

Twitter, количество пользователей которого превышает 200 млн человек, вводит схему защиты безопасности аккаунта, подобную той, которую уже используют такие интернет-корпорации, как Google, Apple, Microsoft, а также социальная сеть Facebook.

Twitter предпринял шаг для улучшения защиты аккаунтов через несколько месяцев после серии взломов аккаунтов известных медиакомпаний, в числе которых были CBS, The Associated Press, The Financial Times и The Onion.

Например, в конце апреля хакеры «Сирийской электронной армии» через Twitter AP разместили ложную информацию о нескольких взрывах в Белом доме и ранении президента США Барака Обамы. На это резким падением отреагировал фондовой рынок. Так, индекс Dow Jones упал ниже отметки в 14 600 пунктов. Впрочем, после того как стало известно, что сообщение не соответствует действительности, ситуация нормализовалась.

Подобные ситуации вызвали массу опасений относительно того, насколько легко аккаунты в Twitter можно взломать. Это усилило давление на исполнительного директора Twitter Дика Костоло — по неофициальной информации, в настоящее время компания готовится к первичному размещению акций на бирже, а негативная реакция на недостаточную защищенность профайлов пользователей может отпугнуть инвесторов.

«На протяжении долгого времени основной целью кибепреступников были банки. Социальные ресурсы стали новой площадкой для этих ребят. Если применять фишинговые схемы для получения паролей от аккаунтов Twitter, Facebook, пострадавших пользователей будет масса», — подчеркнул Бармак Мефтах, исполнительный директор компании AlienVault, работающей в сфере компьютерной безопасности.

По словам технического директора White Hat Security Джеремаи Гроссмана, это ожидаемый шаг: «Это не решит всех проблем, но компания идет в правильном направлении».

По данным источника Bloomberg, сервис микроблогов разрабатывал дополнительный инструмент для обеспечения безопасности аккаунтов пользователей по крайней мере месяц. В Twitter отметили, что планируют ввести новые меры для пресечения хакерских атак и взломов.

Основной проблемой может стать то, что пользователи просто не заходят включать дополнительные настройки, потому что для них это будет дополнительной возней, говорит Марк Ришер, сооснователь стартапа Impermium, работающего в секторе безопасности с уклоном на социальные медиа. «Но даже если они и запустят дополнительный инструмент, уязвимости все равно останутся».

После введения двухступенчатой системы проверки подлинности личности хакерам, конечно же, будет сложнее организовывать атаки на аккаунты и на сервис в целом, считает глава Taia Global Джефри Карр. Но взломать корпоративные аккаунты в Twitter будет возможно, если злоумышленники получат контроль над компьютерами и смартфонами, где установлена мобильная версия Twitter, через которую пользователь уже авторизован: «Двухступенчатая система защиты не идеальна. Она не будет иметь значения, если кто-то заполучит устройство».

Предоставление номера телефона может быть чревато серьезными проблемами. Накануне стало известно о новой лазейке, для того чтобы заполучить номер мобильного телефона пользователя социальных сетей.

Речь идет о разных подходах к обеспечению безопасности американской Facebook и российской «ВКонтакте», которые запрашивают номера телефонов своих юзеров.

Если пользователь указывает одинаковый номер телефона и адрес электронной почты в обеих социальных сетях, то злоумышленник, который получил доступ к почте при восстановлении пароля, может узнать и номер мобильного, выяснил специалист по безопасности Дмитрий Евтеев. В своем блоге он объяснил, что «ВКонтакте» показывает первые семь цифр мобильного телефона владельца аккаунта, а Facebook – последние четыре. Таким образом, те, кто знают адрес электронной почты владельца аккаунтов, могут узнать и номер телефона пользователя.

«Суть в том, чтобы показать, как при разных подходах к обеспечению безопасности приватных данных человека (на примере восстановления паролей) становится возможным по крупицам собирать информацию о нем. И речь не идет лишь о номере мобильного телефона», — подытожил эксперт.