Вам следует включить двухфакторную авторизацию, пока кто-то другой не сделал это за вас, но обязательно нужно использовать никому не известный номер телефона. Сразу после появления двухэтапной авторизации на сайте Twitter специалисты обратили внимание на странную процедуру ее активации.

Достаточно указать номер телефона на сайте — и нажать кнопку “OK”. То есть даже не требуется ввести код, пришедший на телефон, чтобы подтвердить правильность введения номера телефона. Точно такая же процедура действует и при удалении услуги.

Шон Салливан из компании F-Secure опубликовал статью с описанием уязвимостей двухэтапной аутентификации Twitter и возможными сценариями атаки.

Слабость двухэтапной авторизации в Twitter еще и в том, что этот сервис можно подключить/удалить одновременно с подключением/удалением услуги получения твиты на мобильный телефон. Последняя услуга известна давно и легко компрометируется с помощью SMS-спуфинга. Достаточно отправить SMS-сообщение со словом STOP на номер компании Twitter в определенной стране, указав в качестве обратного номера номер жертвы — и вы отключили жертве двухэтапную авторизацию.

Шон Салливан из компании F-Secure успешно проверил описанный метод: ему удалось отключить двухэтапную авторизацию на чужом аккаунте. Пользователь, защищенный через двухэтапную авторизацию, обычно чувствует себя в безопасности и выбирает более простой пароль. Таким образом, подобрать его не составляет особого труда. Войдя в аккаунт, мы легко можем активировать двухэтапную авторизацию уже на свой номер телефона. То же самое справедливо для пользователей, у которых не была подключена услуга двухэтапной авторизации.

Даже зная пароль, жертва никак не сможет зайти на сайт без помощи техподдержки Twitter.

Таким образом, вам следует включить двухфакторную авторизацию, пока кто-то другой не сделал это за вас, но обязательно нужно использовать никому не известный номер телефона.

ссылка на статью