11月15日，據(jù)Info Risk Today報道，安全研究人員警告稱，推特的多因素身份驗(yàn)證存在一個漏洞，可能導(dǎo)致賬戶接管。

該漏洞出現(xiàn)之際正值埃隆?馬斯克（Elon Musk）執(zhí)掌推特第三周，公司的主要安全合規(guī)人員離職，大量員工和承包商被解雇。

一位匿名研究人員向媒體透露，向推特驗(yàn)證服務(wù)發(fā)送“STOP”會導(dǎo)致關(guān)閉短信雙因素認(rèn)證，它會自動回復(fù)“您的設(shè)備已被移除，所有賬戶的短信雙因素驗(yàn)證已被禁用?！?/p>

經(jīng)ISMG驗(yàn)證，該漏洞允許黑客欺騙注冊的電話號碼以禁用雙因素認(rèn)證。這可能會使賬戶遭受密碼重置攻擊或通過密碼填充接管賬戶。推特允許用戶通過除短信以外的其他方式建立多因素認(rèn)證，包括認(rèn)證應(yīng)用程序和安全密鑰。推特并未回應(yīng)該漏洞。據(jù)報道，其溝通團(tuán)隊已解體。

賬戶安全一直是推特的痛處。2017年，十幾歲的黑客接管了數(shù)十個知名賬戶，包括馬斯克、巴拉克·奧巴馬、金·卡戴珊·韋斯特和杰夫·貝佐斯的賬戶，并在其賬戶中發(fā)布加密貨幣欺詐等信息。

紐約金融服務(wù)部（New York Department of Financial Services）認(rèn)定，推特的內(nèi)部安全協(xié)議薄弱，而且缺乏負(fù)責(zé)網(wǎng)絡(luò)安全的高管。

在馬斯克擔(dān)任首席執(zhí)行官期間，出現(xiàn)了另一個與賬戶控制有關(guān)的問題——大量假冒跨國品牌的假賬戶。

據(jù)路透社13日報道，推特早前推出的每月8美元藍(lán)V用戶付費(fèi)認(rèn)證訂閱服務(wù)，導(dǎo)致假賬號激增，已于11日被叫停。據(jù)報道，此前，推特上擁有藍(lán)V認(rèn)證的用戶中有大多是通過身份認(rèn)證的名人、記者、政治家等公眾人物。但自從馬斯克接手推特以來，啟動大規(guī)模改革，于5日正式推出全新訂閱服務(wù)，每月收費(fèi)8美元，以向用戶提供藍(lán)V認(rèn)證標(biāo)記。報道稱，該公司的安全團(tuán)隊曾事先警告馬斯克，8美元并不能阻止假帳號。

參考鏈接：https://www.inforisktoday.com/twitter-two-factor-authentication-has-vulnerability-a-20475