TOPlist

Ani dvoufaktorové ověření neznamená 100% bezpečí. Hackeři ukradli americkému gigantu miliony dat

Hacker
  • Dvoufaktorové ověření u přihlašování může být zrádné
  • Hackeři ukradli miliony telefonních čísel
  • Twilio doporučilo aktualizaci Authy Authenticatoru

Náš život se dnes z velké části odehrává na internetu. Máme tu své bankovnictví, e-mail, sociální sítě, nebo dokonce elektronickou verzi osobních dokladů. Pro hackery jde proto o velmi lákavé cíle a snaží se všemožně dostat nejen do bankovních účtů, ale získat i další osobní údaje uživatelů, které by posléze mohly být zneužitelné.

Proto je nutné chránit si své účty na maximum a nespoléhat jen na pouhé přihlášení uživatelským jménem a heslem – to je dnes naprosto nedostatečné. I proto většina služeb zavedla nebo postupně zavádí takzvané dvoufaktorové ověření, kdy se přihlásíte až po zadání kódu, který vám přijde přes SMS na mobil. A většina z nás věří, že takhle jsme v naprostém bezpečí.

Twilio Authy Authenticator
Twilio Authy Authenticator

Příklad cloudové telekomunikační společnosti Twilio ale jasně ukázal, že ani 2FA ověření nemusí být dostatečné. Vedení Twilia před několika dny přiznalo hackerský útok na účty svých uživatelů. Samotné účty prý zůstaly v úplném bezpečí, ale zato se útočníkům podařilo získat osobní údaje uživatelů. A to včetně telefonních čísel.

Web BleepingComputer uvedl, že hackerům se povedlo ukrást 33 milionů údajů. Sami se úspěšným útokem pochlubili a ze zveřejněného souboru jasně plyne, že zvládli propojit jednotlivé uživatelské účty s telefonními čísly. Do účtů se díky tomu sice neprolomili, ale i tak jsou tyto údaje velmi zneužitelné a dají se použít k různým phishingovým útokům.

Twilio

Jak je možné, že se jim takový kousek povedl? Vysvětlení je celkem prosté a velmi varující – v API rozhraní chybělo koncové šifrování a šikovnému hackerovi stačilo jen připojit se a pak zkoušet různá telefonní čísla. Jakmile se strefil a zadal číslo uživatele Twilio Authy Authenticatoru, rovnou získal i přímý odkaz na jeho účet.

Společnost Twilio okamžitě zareagovala a aplikaci zabezpečila mnohem lépe. S únikem dat už ale nic nezmůže. A co doporučila svým uživatelům? Aktualizaci aplikace. Což je poměrně úsměvné řešení.

Využíváte dvoufaktorové ověření?

Zdroje: Bleeping Computer, Android Authority

Jana Skálová
O Autorovi - Jana Skálová

více o autorovi

Mohlo by vás zajímat

Komentáře (0)