Пятница была непримечательным днем в жизни Twitter: люди ругались, угрожали друг другу смертью, жаловались на жизнь, публиковали «гифки» котиков. Но внезапно случилось странное: аккаунт одного из создателей Twitter Джека Дорси выдал гору невнятных обсценных сообщений. На него подписано без малого 4,2 млн человек, так что хакерская акция не прошла незамеченной и немедленно по всем СМИ.
Руководству Twitter понадобилось 15 минут, чтобы вернуть Дорси доступ к собственной учетной записи, и после обсуждения абсурдности ситуации остался только один вопрос: каким образом хакерам это удалось?
Мы в MAXIM знаем, что читатель у нас продвинутый, обязательно использует парольные менеджеры, никогда не использует один и тот же пароль на нескольких сайтах. Правда ведь?
И действительно, за последнюю пару лет просвещение в области защиты собственных данных сильно продвинулось вперед, украсть пароль к конкретному сервису у пользователя теперь во много раз сложнее. А уж если он использует мультифакторную аутентификацию, так совсем невозможно. Правда, про одну брешь в безопасности все забыли — это услуга по восстановлению пароля. И самое страшное, если она привязана к телефонному номеру.
Как специалисты по безопасности, самым слабым звеном сейчас являются SIM-карты. Процедура «SIM swapping» известна уже давно, но заделать эту брешь не так уж просто: для этого операторам надо менять оборудование и ПО.
Создатели GSM-протокола о чем-то подобном догадывались с самого начала и предусмотрели в сим-картах PIN-код. В какой-то момент его перестали включать по умолчанию, но он до сих пор существует, и его можно найти в конверте, в котором находилась SIM-карта.
Это не абсолютная защита, и совсем опытные хакеры (настолько опытные, что заранее договорились с операторами связи) смогут обойти и пин-код SIM-карты, но от обычных вандалов это защититься поможет. Впрочем, просто стоит избегать двухфакторной аутентификации с использованием номера мобильного.
А Джека Дорси взломали еще хитрее: у Twitter есть специальная служба публикации сообщений через отправку СМС. Поэтому лучше свой телефонный номер вообще не оставлять никому. Ну, кроме той милой девушки из бара со взглядом подполковника.
