С помощью спуфинга исследователям удалось заставить Twitter принять их номер телефона за номер телефона жертвы.
Для взлома чужой учетной записи в Twitter достаточно лишь знать номер телефона жертвы, предупреждают исследователи компании Insinia Security. Это открывает большие перспективы как для рядовых киберпреступников, так и для хакерских групп, спонсируемых государством. По словам исследователей, проблема связана с тем, как Twitter обрабатывает тексты, публикуемые с номера телефона, привязанного к учетной записи. Если злоумышленник сможет выдать свой номер телефона за номер телефона жертвы, он получит полный контроль над ее учетной записью.
«Нам пришлось перебирать номера! Это было на удивление просто, но мы не расскажем, как именно мы это делали», — пишут специалисты Insinia Security.
Затем исследователи подделали SMS-команды, отправляемые Twitter с этих номеров, следуя официальной инструкции со страницы поддержки самой соцсети. Благодаря этому им удалось получить управление над атакованными учетными записями, что дало им возможность публиковать твиты, отправлять личные сообщения, делать ретвиты, ставить отметки «Нравится», подписываться на страницы, удаляться из подписчиков и пр.
Лежащая в основе атаки уязвимость была обнаружена ранее в этом месяце исследователем безопасности Ричардом де Вером (Richard De Ver).
Для предотвращения описанных выше спуфинг-атак пользователям рекомендуется удалить свой номер телефона из учетной записи в Twitter. Кроме того, соцсети следует полностью отказаться от подобного функционала, поскольку указанный в учетной записи номер телефона также используется для двухфакторной аутентификации. Также соцсети стоит отвязать номер телефона и не позволять автоматически публиковать твиты с номера, используемого для двухфакторной аутентификации.
