Video: Hack on famous Twitter accounts raises national security concerns (Oktober 2024)
Dari negeri " seandainya… " Jika Associated Press telah mengatur otentikasi dua faktor dengan akun Twitter-nya, maka peretas pro-Suriah tidak akan dapat membajak akun dan membuat kekacauan.
Ide yang bagus dan rapi, tetapi dalam kenyataannya, tidak. Meskipun otentikasi dua faktor adalah alat yang ampuh untuk mengamankan akun pengguna, itu tidak dapat menyelesaikan semua masalah. Memiliki dua faktor tidak akan membantu @AP karena peretas menerobos melalui serangan phishing. Musuh hanya akan menemukan cara lain untuk mengelabui pengguna agar tidak melewati lapisan keamanan, kata Aaron Higbee, CTO dari PhishMe.
Pada hari Selasa, peretas pro-Suriah membajak akun Twitter AP dan memposting peringatan berita palsu yang mengklaim adanya ledakan di Gedung Putih dan bahwa presiden telah terluka. Dalam tiga atau empat menit sebelum staf AP mengetahui apa yang terjadi dan mengatakan cerita itu salah, investor panik dan menyebabkan Dow Jones Industrial rata-rata jatuh lebih dari 148 poin. Bloomberg News memperkirakan penurunan "menghapus" $ 136 miliar dari indeks S&P 500.
Bisa ditebak, sejumlah pakar keamanan langsung mengkritik Twitter karena tidak menawarkan otentikasi dua faktor. "Twitter benar-benar perlu mendapatkan otentikasi dua faktor yang diluncurkan dengan cepat. Mereka jauh di belakang pasar dalam hal ini, " Andrew Storms, direktur operasi keamanan di nCircle, mengatakan dalam sebuah email.
Akun Grup vs. Individual
Otentikasi dua faktor mempersulit penyerang untuk membajak akun pengguna menggunakan metode brute-force, atau mencuri kata sandi melalui metode rekayasa sosial. Ini juga mengasumsikan hanya ada satu pengguna per akun.
"Otentikasi dua faktor dan langkah-langkah lain akan membantu mengurangi peretasan terhadap akun individual. Tetapi bukan akun grup, " Sean Sullivan, seorang peneliti keamanan dengan F-Secure, mengatakan kepada SecurityWatch .
AP, seperti banyak organisasi lain, mungkin memiliki banyak karyawan yang memposting ke @AP sepanjang hari. Apa yang akan terjadi kapan saja seseorang mencoba memposting ke Twitter? Setiap upaya login mengharuskan orang yang memiliki perangkat terdaftar, apakah itu smartphone atau token perangkat keras, untuk memberikan kode faktor kedua. Bergantung pada mekanisme yang berlaku, ini bisa dilakukan setiap hari, setiap beberapa hari, atau setiap kali perangkat baru ditambahkan.
"Ini menjadi hambatan yang cukup signifikan terhadap produktivitas, " Jim Fenton, CSO OneID, mengatakan kepada SecurityWatch .
Katakanlah saya ingin memposting ke @SecurityWatch. Saya harus mengirim IM atau menelepon kolega saya yang "memiliki" akun untuk mendapatkan kode dua faktor. Atau saya tidak perlu masuk selama 30 hari karena laptop saya adalah perangkat yang diotorisasi, tetapi sekarang ini adalah hari ke-31. Dan akhir pekan. Bayangkan ladang ranjau rekayasa sosial potensial.
"Sederhananya, otentikasi dua faktor tidak akan cukup untuk melindungi orang, " kata Sullivan.
Otentikasi Dua Faktor Bukan Cure-All
Otentikasi dua faktor adalah hal yang baik, alat yang ampuh, tetapi tidak dapat melakukan segalanya, seperti mencegah serangan phishing, kata Fenton. Bahkan, di bawah solusi otentikasi dua faktor yang umum, pengguna dapat dengan mudah diperdaya untuk mengotentikasi akses tanpa menyadarinya, kata Fenton.
Bayangkan jika saya mengirim sms atasan saya: Tidak bisa masuk ke @securitywatch. Kirimi saya kode?
Otentikasi dua faktor mempersulit akun phish, tetapi tidak mencegah serangan agar tidak berhasil, kata Higbee dari PhishMe. Di blog perusahaan, PhishMe mengilustrasikan bagaimana phishing melewati dua faktor hanya mempersempit jendela serangan.
Pertama, pengguna mengklik tautan dalam email phising, mendarat di halaman login, dan memasukkan kata sandi yang tepat dan kode dua faktor yang valid di Situs web palsu. Pada titik ini, penyerang hanya perlu login sebelum kredensial masuk yang valid berakhir. Organisasi yang menggunakan token RSA dapat membuat ulang kode setiap 30 detik, tetapi untuk situs media sosial, periode kedaluwarsa mungkin beberapa jam, atau beberapa hari, jauhnya.
"Ini bukan untuk mengatakan bahwa Twitter seharusnya tidak menerapkan lapisan otentikasi yang lebih kuat, tetapi juga menimbulkan pertanyaan seberapa jauh ia harus melangkah?" Higbee berkata, menambahkan bahwa Twitter pada awalnya tidak dirancang untuk penggunaan kelompok.
Atur Ulang Adalah Masalah Yang Lebih Besar
Menerapkan otentikasi dua faktor di pintu depan tidak akan berarti jongkok jika pintu belakang memiliki kunci tipis - proses pengaturan ulang kata sandi yang lemah. Penggunaan rahasia bersama, seperti nama gadis ibu Anda, untuk membuat dan memulihkan akses akun "adalah Tumit Achilles dari praktik otentikasi hari ini, " kata Fenton.
Ketika penyerang mengetahui nama pengguna, pengaturan ulang kata sandi hanyalah masalah mencegat ulang email. Ini mungkin berarti membobol akun email, yang bisa saja terjadi.
Sementara pertanyaan petunjuk kata sandi memiliki masalah mereka sendiri, Twitter bahkan tidak menawarkannya sebagai bagian dari proses pengaturan ulang. Yang dibutuhkan semua orang adalah nama pengguna. Meskipun ada opsi untuk "memerlukan informasi pribadi untuk mereset kata sandi saya, " satu-satunya informasi tambahan yang diperlukan adalah alamat email dan nomor telepon yang mudah diperoleh.
"Akun Twitter akan terus diretas, dan Twitter perlu melakukan beberapa hal untuk melindungi penggunanya - bukan hanya dua faktor, " kata Sullivan.
