马斯克执掌推特三周后，双因素身份认证出现漏洞

11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。

该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。

一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。

经ISMG验证，该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证，包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道，其沟通团队已解体。

账户安全一直是推特的痛处。2017年，十几岁的黑客接管了数十个知名账户，包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户，并在其账户中发布加密货币欺诈等信息。

纽约金融服务部（New York Department of Financial Services）认定，推特的内部安全协议薄弱，而且缺乏负责网络安全的高管。

在马斯克担任首席执行官期间，出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。

据路透社13日报道，推特早前推出的每月8美元蓝V用户付费认证订阅服务，导致假账号激增，已于11日被叫停。据报道，此前，推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来，启动大规模改革，正式推出全新订阅服务，每月收费8美元，以向用户提供蓝V认证标记。报道称，该公司的安全团队曾事先警告马斯克，8美元并不能阻止假帐号。

参考来源：

https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475

精彩推荐

原文始发于微信公众号（FreeBuf）：马斯克执掌推特三周后，双因素身份认证出现漏洞