martes, 12 de agosto de 2014

VERIFICACION 2FA “COMPROMETIDA” EN VENEZUELA

¡ALERTA! verificación en dos pasos (2FA) “comprometida” en Venezuela (MUY GRAVE)

Un equipo de investigadores de seguridad independientes venezolanos (nombres protegidos por seguridad) reveló una grave debilidad en la implementación del sistema 2FA (verificación en dos pasos) en el servicio de Twitter este pasado Lunes.

La vulnerabilidad permite que con tan solo un código de 6 dígitos (enviado via SMS) se obtenga acceso a cualquier cuenta de Twitter, AUN sin conocer la contraseña e independientemente de si el usuario ha configurado o no 2FA para enviar las alertas 2FA a la aplicación. Un intruso solo necesita interceptar los mensajes SMS para obtener estos códigos, tarea relativamente sencilla si se conocen los medios para lograrlo o si se tiene acceso al proveedor.

El modo en que los intrusos están vulnerando las cuentas en Twitter en Venezuela consiste en enviar un mensaje privado (desde cuentas comprometidas de periodistas, artistas y famosos) y solicitar un ‘whatsapp’ o numero de teléfono en Venezuela de la victima ya que su numero celular es lo único que necesitan para vulnerarlos. Debe estar MUY alerta si recibe un mensaje privado solicitando su whatsapp o numero de teléfono, especialmente si esta solicitud proviene de una figura reconocida.

Twitter ha sido notificado de la vulnerabilidad y se encuentra trabajando activamente en una solución. Por ahora el ÚNICO método efectivo contra este problema es utilizar verificación en dos pasos (2FA) con un numero en el exterior.

No hay comentarios.: