Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы

z6gx92kzgsni6qzvm98xtjn7az0.jpeg

Система двухфакторной аутентификации, или метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных, критиковалась пользователями и экспертами уже не раз, и на днях Twitter дал ещё один повод для недовольства. Компания призналась в том, что использует телефонные номера и адреса электронной почты пользователей, которые они указывают для 2FA, чтобы сделать рекламу в микроблоге более таргетированной.

Twitter требует от пользователей предоставить настоящий, действующий номер телефона, чтобы иметь право на использование двухфакторной идентификации. Работающий номер мобильного телефона является обязательным, даже если защита пользователей 2FA основана исключительно на ключах безопасности или приложениях аутентификаторов, чья работа не зависит от телефонных номеров.
Эксперты по безопасности давно высказывались об этом требовании негативно. Оно, например, не является условием использования защиты 2FA в сервисах Google, Github и на других популярных и посещаемых сайтов. Во вторник Twitter объявил, что сайт мог непреднамеренно использовать адреса электронной почты и номера телефонов, предоставленные для 2FA и других целей безопасности, чтобы сопоставить пользователей с маркетинговыми списками, предоставленными рекламодателями. В Twitter не сообщили, сколько пользователей было затронуто ошибкой — сотни или миллионы — и как долго длилась упомянутая практика.

Представители компании написали:
«Мы не можем с уверенностью сказать, сколько людей пострадали от этого, но, стремясь быть прозрачными, мы хотим, чтобы все знали. Никакие личные данные никогда не передавались нашим партнерам или любым третьим лицам извне. Мы решили проблему, которая позволила этому случиться, и мы больше не используем номера телефонов или адреса электронной почты, собранные в целях безопасности, для рекламы».

Мэтт Грин, профессор Университета Джонса Хопкинса, специализирующийся на криптографии, раскритиковал Twitter за оплошность.
«На самом деле, чья идея заключалась в том, чтобы использовать ценный рекламный идентификатор в качестве входа в систему безопасности? Это похоже, как если бы кто-то использовал сырое мясо, чтобы обезопасить свою палатку от медведей», — написал он.

Двухфакторная аутентификация считалась наиболее эффективным средством защиты учетных записей от фишинга и так называемых атак с использованием учетных данных (последний использует пароли, обнаруженные в результате взлома на одном сайте, для подбора паролей на других сайтах). Как следует из названия, для 2FA требуется второй фактор — например, ключ безопасности или отпечаток пальца — в дополнение к паролю для успешного входа в систему с нового устройства.

За последние несколько лет специалисты по безопасности все чаще отказывались от 2FA на основе текстовых сообщений SMS по двум причинам: злоумышленники могут контролировать телефонные номера пользователей, выдавая себя за владельцев и заставляя оператора поменять SIM-карту, и SMS-сообщения могут быть перехвачены из-за слабости протокола маршрутизации, который используют сотовые операторы. Злоумышленники активно эксплуатируют эти слабости.

Гораздо более эффективным средством 2FA является использование физических ключей безопасности, которые подключаются через интерфейсы USB или NFC или менее безопасных, но все же лучших, чем SMS, одноразовых паролей, генерируемых приложениями для проверки подлинности. Twitter допускает любую форму 2FA. Но в любом случае требует, чтобы пользователь указал номер телефона.

Представители Twitter отказались отвечать на запросы, почему телефонный номер требуется для использования 2FA. Однако один из экспертов сказал, что это требование основано на предыдущем опыте, когда пользователи часто теряли доступ к другим методам 2FA, вследствие чего их учётные записи были заблокированы без возможности восстановления.

© Habrahabr.ru