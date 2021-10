Alle 5500 medewerkers van Twitter die op hun interne account willen inloggen moeten van een fysieke beveiligingssleutel gebruikmaken, wat herhaling van de grote aanval van vorig jaar moet voorkomen. Bij de aanval die vorig jaar juli plaatsvond kregen aanvallers door middel van een telefonische phishingaanval toegang tot de interne beheertools van Twitter.

Door middel van deze toegang was het mogelijk om het e-mailadres van accounteigenaren te veranderen en tweefactorauthenticatie uit te schakelen. Op deze manier konden de aanvallers van tientallen geverifieerde accounts het wachtwoord resetten en zo de accounts overnemen. Het ging om accounts van president Joe Biden, voormalige president Barack Obama, Elon Musk, Kanye West, Bill Gates, Jeff Bezos, Mike Bloomberg, Warren Buffet, Floyd Mayweather, Kim Kardashian, Apple, Uber en andere bedrijven.

Om herhaling van een dergelijke aanval heeft Twitter onder alle medewerkers fysieke beveiligingssleutels uitgerold. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd.

Bij Twitter werden andere methodes voor tweefactorauthenticatie (2FA) gebruikt, maar die zijn volgens it-productmanager Nick Fohs niet veilig genoeg. "Beveiligingssleutels kunnen legitieme van malafide sites onderscheiden en phishingpogingen blokkeren die 2FA via sms of one-time password (OTP) verificatiecodes niet kunnen", aldus Fohs. Daarom besloot Twitter alle andere 2FA-methodes uit te faseren en alleen nog fysieke beveiligingssleutels als tweede factor te gebruiken.

Er werd gekozen voor de 5 NFC- en 5C NFC-sleutels van YubiKey, omdat die usb voor laptops en nfc voor Android en iOS ondersteunen. Details over de uitrol van de beveiligingssleutels en wat Twitter in de toekomst nog op dit gebied van plan is beschrijft Fohs in een blogposting. Hoewel al het personeel nu van een beveiligingssleutel gebruikmaakt is tweefactorauthenticatie bij gebruikers nog altijd geen gemeengoed. Eerder stelde Twitter dat slechts 2,3 procent van de gebruikers 2FA heeft ingeschakeld.