Twitter dicht SMS-lek alleen in VS
Micro-blogging dienst Twitter heeft een beveiligingslek gedicht waardoor gebruikers berichten op de pagina's van anderen konden plaatsen, de update werkt echter alleen in de Verenigde Staten. Twitter laat gebruikers ook via hun mobiele telefoon bloggen, door een SMS-bericht te sturen kan men berichten op Twitter.com plaatsen. Een probleem met de authenticatie zorgde ervoor dat kwaadwillenden alleen het mobiele nummer van hun slachtoffer moesten weten om in zijn naam berichten te plaatsen. Via SMS spoofingsites zoals my-cool-sms.com of phonytext.com kan men een willekeurig nummer in het afzenderveld plaatsen.
Naast het plaatsen van nepberichten kon een aanvaller slachtoffers ook andere Twitter gebruikers laten volgen. Het probleem is echter niet nieuw, aangezien beveiligingsonderzoeker Nitesh Dhanjani twee jaar geleden al voor een soortgelijke dreiging waarschuwde.
Ontkenning
Blogger Brian Krebs besloot Twitter te waarschuwen, maar die ontkende het probleem. Mede-oprichter Biz Stone weigerde ook om een demonstratie van de aanval te bekijken. "Je informatie klopt niet. We hebben in april 2007 al een PINcode als bescherming voor gebruikers buiten de VS toegevoegd. Telecomaanbieders in de VS hebben hun eigen systemen om SMS-spoofing te blokkeren", aldus Stone. Voor aanvallers was het toch mogelijk om via een internationaal nummer gewoon berichten naar Amerikaanse gebruikers te sturen, zonder hierbij een PINcode in te voeren.
Toen Krebs duidelijk maakte dat de aanval via internationale nummers wel werkte, bond Stone in en besloot het probleem meteen op te lossen. De oplossing werkt alleen in de Verenigde Staten, een eenvoudige test wijst uit dat het probleem in zowel Groot-Brittannië als Duitsland nog steeds aanwezig is.
Twee-factor authenticatie
Volgens onderzoeker Lance James, die het probleem ontdekte, is dit slechts één voorbeeld van de kwetsbaarheid van twee-factor authenticatie. "Als je een verbinding tussen mobiele apparaten en het web hebt, zijn er altijd dit soort problemen tussen vertrouwde apparaten. Mensen moeten beseffen dat deze aanpak niet foutloos is. Een kwetsbaarheid in de ene technologie kan een aanvaller het hele ding laten breken."
Blogger Brian Krebs besloot Twitter te waarschuwen, maar die ontkende het probleem. Mede-oprichter Biz Stone weigerde ook om een demonstratie van de aanval te bekijken
----
natuurlijk niet.
want dan moeten de met de broek naar beneden schuld bekennen
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.