Polityka i prawo
Uwierzytelnianie dwuskładnikowe z poważną luką? Twitter przyznaje się do wpadki
Numery telefonów oraz adresy e-mail wykorzystywane m.in do dwuskładnikowego uwierzytelniania konta zostały „przypadkowo” wykorzystane w celach reklamowych - twierdzą władze Twittera. Oficjalne oświadczenie platformy stanowiące zaledwie próbę wyjaśnienia zdarzenia zostało opublikowane na oficjalnym blogu firmy.
W treści oświadczenia władze giganta wskazały, że adresy e-mail oraz numery telefonów użytkowników przeznaczone do uwierzytelniania dwuskładnikowego zostały użyte w niewłaściwy sposób. Rozwiązanie, zalecane przez ekspertów do zwiększenia bezpieczeństwa konta naraziło użytkowników na utratę danych.
„Gdy reklamodawca przesłał swoją listę marketingową, mogliśmy dopasować osoby na Twitterze do ich listy na podstawie adresu e-mail lub numeru telefonu podanego przez właściciela konta” – mówi treść oświadczenia. „To był błąd i przepraszamy” - czytamy w jego treści.
Władze Twittera nie poinformowały natomiast, ile osób zostało poszkodowanych w wyniku „błędu”. Jednak jak wskazują specjaliści firmy, żadne dane nie zostały udostępnione innym stronom trzecim. W oświadczeniu brakuje również zaleceń oraz wskazówek dla osób, których adresy i numery kontaktowe mogły zostać naruszone na skutek incydentu.
Użytkownicy platformy udostępniają koncernowi numery telefonów ze względów bezpieczeństwa, a zwłaszcza, jeśli chodzi o funkcję uwierzytelniania dwuskładnikowego. Jednak według wielu ekspertów zajmujących się cyberbezpieczeństwem tego typu zabezpieczenia same w sobie stanowią zagrożenie i są „łakomym kąskiem” dla hakerów. W związku z tym inni giganci mediów społecznościowych stopniowo odchodzą od tej metody, uznając ją za niebezpieczną. Przykładem może być Facebook, który w maju 2018 roku zrezygnował z wymogu wpisywania numeru telefonu w celu korzystania z usługi do logowania na platformie.