IT業界資訊媒體

【針拮到肉識痛】Twitter停用SMS出tweet功能

利用 SMS Swapping 漏洞嚟搶奪帳戶持有權嘅個案,相信發生得非常頻密,只不過今次發生喺 Twitter CEO 身上,仲令到呢個社交平台要暫停 SMS 出 tweet 功能,先至咁受關注咋。

事實上,SMS Swapping 攻擊並唔繁雜,黑客只要透過唔同方法,例如偷走/冒領目標人物嘅 SIM 卡,又或攔截目標人物嘅 SMS 短訊,就有可能搶奪對方嘅登入帳戶。因為唔少公司都會用 SMS 作為申請重設密嗎嘅發送渠道,所以如果掌握到目標人物用嚟登入帳戶嘅名稱,而又做到 SMS Swapping 攻擊,咁就好易搶奪帳戶。

電話號碼確認推文

Twitter 就係其中一個好例子,CEO Jack Dorsey 早前就被黑客盜用咗 SIM 卡,然後瘋狂透過 SMS 出 tweet 功能嚟幫佢推文,內容涉及反猶太人同埋種族主義;當 Dorsey 發現及通知電訊商停咗佢個電話號碼,已經過去咗 20 分鐘。喺今次事件入面,黑客並唔需要搶奪 Dorsey 帳戶先可以推文,因為以往 Twitter 一直保持住可以用 SMS 嚟推文嘅功能,喺呢個情況下只要有或複製目標人物嘅 SIM 卡就得,因為用 SMS 推文,只要確認發送電話號碼係之前帳戶持有人所綁定,就會確信係本人發送,連帳戶登入密碼都唔使入。而用 SMS 推文嘅原因,係令上網費用貴嘅地區就可以用到 Twitter,所以當 CEO 帳戶都被利用之後,Twitter 就停咗呢項功能喇。

其實上星期我哋都講過 Twitter 嘅雙重認證漏洞,令用戶只可以焗用 SMS 嚟接收雙重認證資料,所以話 SMS 真係 Twitter 嘅死穴嚟,唔知仲要等到幾時,Twitter 方面先可以正視呢啲問題呢?

資料來源:https://bit.ly/34cFQcu

相關文章:【形同虛設】twitter雙重驗證焗用SMS