Twitter дозволила своїм користувачам деактивувати ввімкнену за умовчанням двофакторну аутентифікацію за допомогою SMS. Відзначимо, раніше така можливість була відсутня.
Якщо користувач хотів ввімкнути двофакторну аутентифікацію для свого облікового запису, він повинен був зареєструвати свій номер телефону і активувати двофакторну аутентифікацію за допомогою SMS без можливості її подальшого вимкнення. Ті, хто використовував мобільні додатки OTP для аутентифікації, спочатку повинні були активувати двофакторну аутентифікацію за допомогою SMS, вимкнути яку потім було неможливо.
Навіть якщо власник облікового запису використовував ключ безпеки, двофакторна аутентифікація за допомогою SMS все одно постійно увімкнена, піддаючи обліковий запис загрозі атаки SIM swap. Зловмисник, який має в своєму розпорядженні пароль жертви, міг тимчасово заволодіти номером її телефону, обійти двофакторну аутентифікацію за допомогою SMS і захопити контроль над обліковим записом.
Протягом останніх двох років за допомогою описаного способу було зламано чимало облікових записів відомих особистостей, але керівництво Twitter не вважало за необхідне дозволити своїм користувачам вимикати спірну опцію. Все змінилося 30 серпня нинішнього року, коли за допомогою SIM swap зловмисники зламали екаунт глави Twitter Джека Дорсі. Хоча в даному випадку злочинці не обходили двофакторну аутентифікацію за допомогою SMS, але керівництво соцмережі усвідомило всю небезпеку SIM swap.
Тепер користувачі можуть вимикати спірну опцію і використовувати інші методи двофакторної аутентифікації. Також вони можуть відв’язати від свого облікового запису номер телефону і при цьому продовжувати користуватися функцією двофакторної аутентифікації.
https://twitter.com/TwitterSafety/status/1197621020229804054?s=20
До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.
Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.
Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.
Стало відомо, що Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). При цьому також буде доступний протокол “DNS поверх TLS” (DNS over TLS, DoT).
Під час дослідження безпеки камер в пристроях Google Pixel 2 XL і Pixel 3 команда фахівців Checkmarx виявила уразливості в додатку “Камера” від Google, що дозволяє їм керувати деякими функціями, не отримавши відповідного дозволу.