Twitter и подмена отправителя SMS

За последние два дня, было опубликовано несколько статей ^[1] о потенциальной возможности писать в чужой Twitter, в котором активирована функция написания твитов через SMS. Было неверно заявлено, что пользователи находящиеся в США, также уязвимы к этой атаке.

Суть в том, что если у пользователя включена возможность писать твиты посредством SMS ^[2], злоумышленник, зная номер телефона пользователя, может писать от его имени.

Большинство пользователей Twitter используют короткий номер. В США, например, короткий номер ^[3] — 40404. Короткие номера работают таким образом, что исключают возможность подмены номера отправителя.

Но в некоторых странах, Twitter еще не имеет ^[4] коротких номеров и в этих случаях используются обычные длинные номера телефонов. Таким образом, становится возможным отправить на эти номера SMS с поддельным номером отправителя. Мы ввели PIN-защиту ^[5] для пользователей, которые используют длинные номера. Также, с августа этого года мы отключили возможность использования длинного номера, при наличии короткого.

Пользователи из США не подвержены этой уязвимости и PIN-защита недоступна для них, т.к. использование короткого номера — уже защита от подмены номера. Мы предоставляем PIN-защиту, только для тех пользователей, которые используют длинные номера.

Мы прикладываем много усилий, чтобы защитить наших пользователей от возможных угроз и ценим Ваше доверие.

Автор: truezemez

Источник ^[6]