Twitter konečně umožňuje aktivovat dvoufaktorové ověření bez nutnosti použít telefonní číslo. Nově můžete prostě klasicky použít některou z aplikací pro dvoufaktorové kódy (třeba Authy) a není již potřeba dostat prvotní kód přes SMS.
TIP: Hodit se určitě bude 15 kroků, jak nastavit soukromí na Twitteru, Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet a První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020. Z 241 e-mailových účtů se jim podařilo kompromitovat čtyři. Vše prostřednictvím resetu heslo nebo cest jak obnovit přístup k účtu s pomocí druhého účtu, který si uživatel nastavil pro případ ztráty přístupu. Detaily v Recent cyberattacks require us all to be vigilant kde Microsoft velmi správně zdůrazňuje zásadní nutnost používat dvoufaktorové ověření pro všechny e-mailové účty, které je možné k něčemu zneužít.
Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a dělal to s využitím všeho, co měl jako zaměstnanec Yahoo k dispozici. Původní mířil pouze na přátelé a známé, ale nakonec to vedlo ke kompromitaci zhruba šesti tisíc účtů na Yahoo. S pomocí tam získaných informací pak pokračoval i na účty u Gmailu, iCloudu či Dropboxu. To, že se u Yahoo dostal k heslům účtů nemůže ani překvapit, Yaho v říjnu 2017 přiznali hack a únik hesel 3 miliard účtů z roku 2013. Viz Ex-Yahoo employee hacked 6,000 accounts for sexual images
TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů. Velmi pravděpodobně (jak uvádí na Twitteru například Brian Krebs) k tomu došlo přes „SIM swapping„, útočníkům se podařilo získat SIM s telefonním číslem, které Dorsey používal pro dvoufaktorové ověření. Novou SIM se stejným číslem museli útočník/útočníci získat u některého z operátorů. S novou SIM pak bylo možné získat kód pro dvoufaktorové ověření nového přihlášení.
Klíč Titan Security není bezpečný, Google je musí vyměnit. Ještě nedávno se přitom tento hardwarový klíč pro dvoufaktorové ověření vydával za příkladné řešení. Ve skutečnosti je napadnutelný, útočník se může přes Bluetooth připojit a komunikovat jak s klíčem, tak se spárovaným zařízením. Týká se to pochopitelně jenom Bluetooth verze a útočník musí být v blízkosti (do 30 metrů.). Viz Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys
PayPal konečně umí klasický dvoufaktor. Třeba s pomocí užitečné aplikace Authy. Viz PayPal adds authenticator app as 2-step verification option a protože v PayPal jde o peníze, tak je asi dost jasné, že byste si ten dvoufaktor měli co nejrychleji aktivovat.
TIP: Ale ještě předtím než si to zapnete v PayPal, mrkněte do První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku. Nejlépe jim to funguje u kódů posílaných SMS, ale obejít umějí i aplikační 2FA. Zajímavé na How Hackers Bypass Gmail 2FA at Scale je i zmínka o využití online služeb pro migrací účtů z Gmailu do Yahoo – po získání přístupu prostě všechny maily přenesou. Bezpečnější ochrana účtu než klasický 2FA je použít hardware – klíče připojované k počítači přes USB.
TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
