Hace unos días os hablamos de que Twitter había activado la verificación en 2 pasos para sus cuentas. Esto hace que la red social a la hora de iniciar sesión en los servidores nos mande un sms a un número de teléfono con un código que nos permita iniciar sesión en la red social.
En menos de un día el grupo F-Secure ha conseguido hackear esta autenticación.
Desde su blog aseguran que con tan sólo conocer el número de teléfono que ha introducido el usuario para activar este método de seguridad la cuenta podría ser hackeada.
Para desactivar la doble verificación se debe mandar un SMS desde el móvil de activación a un número de Twitter. De esa forma la verificación será desactivada. Si el atacante utiliza alguna técnica de suplantación de número de teléfono, al no requerir ninguna confirmación adicional únicamente el SMS, la doble verificación podría ser desactivada.
http://www.redeszone.net/wp-content/uploads/2013/05/Twitter_2FA_01-655x151.png
Desde F-Secure han descubierto una segunda vulnerabilidad al servicio. Si un hacker dispone del usuario y la contraseña de una cuenta mediante alguna técnica de phising podría activar la verificación a 2 pasos de la cuenta de un usuario dejando esta totalmente inutilizada.
El problema de esto viene porque la desactivación no requiere ningún código ni verificación por mail ni nada, y la activación de este servicio tampoco lo requiere, por lo que podría ser activada dejando la cuenta inutilizada.
Twitter debería solucionar estos problemas lo antes posible ya que si no, con la cantidad de cuentas suplantadas que existen, muchos usuarios podrán perder el acceso a sus cuentas por culpa de usuarios malintencionados.
http://www.redeszone.net/2013/05/25/la-doble-autenticacion-de-twitter-puede-ser-hackeada-de-forma-sencilla/