Комментарии 4
Twitter пояснила, что в результате этого взлома пароли аккаунтов не были раскрыты, но базы данных аккаунтов могут использоваться злоумышленниками для фишинговых рассылок. Соцсеть рекомендует пользователям поменять пароли и включить двухфакторную аутентификацию
Каким образом смена пароля и двухфакторная аутентификация помогут от фишинга? И наоборот, если во время взлома пароли не были раскрыты, то зачем их менять?
Какая у фишинга основная цель? Получить комбинацию логин\пароль. Они просто говорят, что сейчас будут целевые атаки на конкретных пользователей с целью узнать их пароль, остальные данные им известны. Двухфакторная аутентификация как раз тут и поможет.
Зависит от контекста. Если заманить юзера на фейковый сайт с формой авторизации (и параллельно логиниться на реальном сайте с помощью только что полученной пары логин-пароль), то можно и кад из двухфакторки получить и использовать. Но сложнее, согласен. И продать кому-то пару логин-пароль не получится, так как пользы от неё без проведения новой фишинговой атаки нет.
В контексте слитой базы Twitter.
Да, можно сделать Clickjacking или что-то подобное, но уверен, что у твиттера настроен CSP. Из-за блокировок не могу получить заголовки))) чтобы проверить.
В любом случае им не хватает паролей и двухфакторная аутентификация как раз и поможет. Задача твиттер защитить своих пользователей внутри сайта, а на всё что вне сайта им пофиг и это нормально.
Вы просто говорите, что двухфакторная аутентификация не защитит пользователей от использования мошенниками их данных вне твиттера, а они говорят именно про процесс входа в твиттер.
Хакер шантажирует Илона Маска слитой базой данных 400 млн пользователей Twitter