Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы



    Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

    Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.

    Эксперты по безопасности давно высказывались об этом требовании негативно. Оно, например, не является условием использования защиты 2FA в сервисах Google, Github и на других популярных и посещаемых сайтов. Во вторник Twitter объявил, что сайт мог непреднамеренно использовать адреса электронной почты и номера телефонов, предоставленные для 2FA и других целей безопасности, чтобы сопоставить пользователей с маркетинговыми списками, предоставленными рекламодателями. В Twitter не сообщили, сколько пользователей было затронуто ошибкой — сотни или миллионы — и как долго длилась упомянутая практика.

    Представители компании написали:
    «Мы не можем с уверенностью сказать, сколько людей пострадали от этого, но, стремясь быть прозрачными, мы хотим, чтобы все знали. Никакие личные данные никогда не передавались нашим партнерам или любым третьим лицам извне. Мы решили проблему, которая позволила этому случиться, и мы больше не используем номера телефонов или адреса электронной почты, собранные в целях безопасности, для рекламы».

    Мэтт Грин, профессор Университета Джонса Хопкинса, специализирующийся на криптографии, раскритиковал Twitter за оплошность.
    «На самом деле, чья идея заключалась в том, чтобы использовать ценный рекламный идентификатор в качестве входа в систему безопасности? Это похоже, как если бы кто-то использовал сырое мясо, чтобы обезопасить свою палатку от медведей», — написал он.

    Двухфакторная аутентификация считалась наиболее эффективным средством защиты учетных записей от фишинга и так называемых атак с использованием учетных данных (последний использует пароли, обнаруженные в результате взлома на одном сайте, для подбора паролей на других сайтах). Как следует из названия, для 2FA требуется второй фактор — например, ключ безопасности или отпечаток пальца — в дополнение к паролю для успешного входа в систему с нового устройства.

    За последние несколько лет специалисты по безопасности все чаще отказывались от 2FA на основе текстовых сообщений SMS по двум причинам: злоумышленники могут контролировать телефонные номера пользователей, выдавая себя за владельцев и заставляя оператора поменять SIM-карту, и SMS-сообщения могут быть перехвачены из-за слабости протокола маршрутизации, который используют сотовые операторы. Злоумышленники активно эксплуатируют эти слабости.

    Гораздо более эффективным средством 2FA является использование физических ключей безопасности, которые подключаются через интерфейсы USB или NFC или менее безопасных, но все же лучших, чем SMS, одноразовых паролей, генерируемых приложениями для проверки подлинности. Twitter допускает любую форму 2FA. Но в любом случае требует, чтобы пользователь указал номер телефона.

    Представители Twitter отказались отвечать на запросы, почему телефонный номер требуется для использования 2FA. Однако один из экспертов сказал, что это требование основано на предыдущем опыте, когда пользователи часто теряли доступ к другим методам 2FA, вследствие чего их учётные записи были заблокированы без возможности восстановления.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 4

      +1
      За последние несколько лет специалисты по безопасности все чаще отказывались от 2FA на основе текстовых сообщений SMS по двум причинам: злоумышленники могут контролировать телефонные номера пользователей, выдавая себя за владельцев и заставляя оператора поменять SIM-карту, и SMS-сообщения могут быть перехвачены из-за слабости протокола маршрутизации, который используют сотовые операторы.

      Эмм, думаю, основная причина всё же в том, что 2FA по номеру телефона позволяет вебсервису связать аккаунт пользователя (безликую сущность, идентифицируемую только логином и email) с реальной личностью (владельцем телефона), что ставит крест на анонимности.

        +2
        Эмм, а с каких пор сервисы ставят целью анонимизировать пользователя? Мне кажется, что проблема легкого дублирования СИМ-карты для перехвата СМС все-таки более насущна при использования телефона как средства аутентификации, нежели деанон пользователя.
          0

          Никто и не ожидает, что вебсервис будет предпринимать хоть какие-то усилия по сохранению анонимности. Именно поэтому отдать # телефона = совершить свою часть работы по деанонимизации себя добровольно, собственными руками и со 100% вероятностью. Оставшуюся часть работы вебсервис с радостью сделает и при этом ещё останется в рамках закона (например отдаст рекламодателям или своим дочерним сервисам ПД юзера, это наверняка прописано в TOS), в отличие от обеспечения безопасности СМС-аутентификации, которая лежит на сотовом операторе (и/или на банке, например) и за нарушение которой они вообще-то несут ответственность.

            0
            «Вообще-то несут ответственность» и «несут ответственность» в современных реалиях разные понятия :) Еще не слышал о крупных судебных разбирательствах в сторону сотовых операторов за подобные выходки.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое