Twitter akkauntlarini faqat jabrlanuvchining telefon raqamidan foydalanib buzib kirish mumkin.
Tadqiqotchilar soxtalashtirish orqali Twitterni aldab, ularning telefon raqamini jabrlanuvchining telefon raqami bilan adashtirishga muvaffaq bo’lishdi.
Insinia Security tadqiqotchilari kimningdir Twitter akkauntini buzib kirish uchun faqat jabrlanuvchining telefon raqami talab qilinishi haqida ogohlantirmoqda. Bu oddiy kiberjinoyatchilar va davlat tomonidan homiylik qilingan xakerlik guruhlari uchun katta imkoniyatlar ochadi. Tadqiqotchilarning tushuntirishicha, muammo Twitter akkaunt bilan bog’liq telefon raqamidan joylashtirilgan matnlarni qanday qayta ishlashidan kelib chiqadi. Agar tajovuzkor o’z telefon raqamini jabrlanuvchining telefon raqami sifatida ko’rsata olsa, u akkauntni to’liq nazorat qila oladi.
«Biz raqamlarni sinab ko’rishimiz kerak edi! Bu ajablanarli darajada oddiy edi, lekin biz buni qanday qilganimizni sizga aniq aytib bermaymiz», deb yozadilar Insinia xavfsizlik mutaxassislari.
Keyin tadqiqotchilar ijtimoiy tarmoqning qo’llab-quvvatlash sahifasidagi rasmiy ko’rsatmalarga amal qilib, ushbu raqamlardan Twitterga yuborilgan SMS buyruqlarni soxtalashtirdilar. Bu ularga buzilgan akkauntlarni nazorat qilish, tvit qilish, shaxsiy xabarlar yuborish, retvit qilish, layk bosish, kuzatish, bekor qilish va boshqa ko’p narsalarni amalga oshirish imkonini berdi.
Hujumning asosiy zaifligi shu oy boshida xavfsizlik bo’yicha tadqiqotchi Richard De Ver tomonidan aniqlangan.
Yuqorida tavsiflangan soxta hujumlarning oldini olish uchun foydalanuvchilarga Twitter akkauntlaridan telefon raqamlarini olib tashlash tavsiya etiladi. Bundan tashqari, ijtimoiy tarmoq ushbu funksiyani butunlay olib tashlashi kerak, chunki akkaunt bilan bog’liq telefon raqami ikki faktorli autentifikatsiya uchun ham ishlatiladi. Ijtimoiy tarmoq shuningdek, telefon raqamini uzib, ikki faktorli autentifikatsiya uchun ishlatiladigan raqamdan avtomatik tvit yozishni oldini olishi kerak.
