马斯克掌舵Twitter三周后,双因素身份验证存在缺陷马斯克掌管Twitter三周后,双因素身份验证存在缺陷Twitter多因素身份验证中的一个缺陷可能导致账户接管。此次违规事件发生之际,埃隆·马斯克(ElonMusk)掌舵Twitter已进入第三周,该公司的主要安全合规人员离职,大量员工和承包商被解雇。一位匿名研究人员向媒体透露,向推特的验证服务发送“STOP”将关闭短信双因素认证,它会自动回复“你的设备已被移除。已为所有账户禁用短信双因素认证。”经ISMG验证,该漏洞允许黑客伪造注册电话号码以禁用双因素身份验证。这可能会使帐户面临密码重置攻击或通过密码填充来接管帐户。Twitter允许用户通过SMS以外的方法建立多因素身份验证,包括验证应用程序和安全密钥。推特没有对违规行为做出回应。据报道,其通讯团队已经解散。账户安全一直是推特的痛处。2017年,十几岁的黑客接管了数十个知名账户,包括马斯克、巴拉克奥巴马、金卡戴珊韦斯特和杰夫贝索斯的账户,并发布了加密货币欺诈和其他信息。纽约金融服务部确定Twitter的内部安全协议薄弱,并且缺乏负责网络安全的高管。在马斯克担任CEO期间,另一个与账户控制相关的问题出现了——冒充跨国品牌的虚假账户泛滥。据路透社13日报道,导致虚假账户激增的推特每月8美元蓝V用户付费认证订阅服务已于11日暂停。据报道,此前,推特上进行蓝V身份验证的用户大多是通过身份验证的名人、记者、政客等公众人物。不过,自从马斯克接手推特后,便启动了大规模改革,并于5日正式推出新的订阅服务,每月收费8美元,为用户提供蓝V认证标志。报道称,该公司的安全团队已提前警告马斯克,8美元不会阻止假账户。参考链接:https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475
