موظفو يستخدمون مفاتيح الأمان بعد اختراق 2020
قدمت شركة مفاتيح الأمان لجميع موظفيها وجعلت المصادقة الثنائية 2FA إلزامية للوصول إلى الأنظمة الداخلية بعد اختراق العام الماضي، وذلك وفقًا لمدير منتجات تكنولوجيا المعلومات الأول في الشركة، نيك فوهس، ومهندس الأمن الأول، نوبور غولاب.
وقامت الشركة بنقل جميع موظفيها من المصادقة الثنائية 2FA القديمة باستخدام الرسائل القصيرة أو تطبيقات المصادقة إلى مفاتيح الأمان في أقل من ثلاثة أشهر.
وقالت الشركة: قمنا خلال العام الماضي بتسريع الجهود لزيادة استخدام مفاتيح الأمان لمنع هجمات التصيد الاحتيالي. كما قمنا أيضًا بتطبيق مفاتيح الأمان داخليًا عبر القوى العاملة لدينا. وذلك للمساعدة في منع الحوادث الأمنية مثل تلك التي عانينا منها العام الماضي.
وبعد اختراق شهر يوليو 2020، كشفت أن المهاجمين سيطروا على عشرات الحسابات الرفيعة المستوى بعد سرقة بيانات موظفي بعد
The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.
— Twitter Support (@TwitterSupport) July 31, 2020
عبر الهاتف في 15 يوليو 2020.
وباع غراهام كلارك، الشاب البالغ من العمر 17 عامًا الذي أقر بأنه مذنب في تهم الاحتيال بعد تنسيق الاختراق، الوصول إلى هذه الحسابات.
كما استخدم لاحقًا حسابات المنصة الموثقة للشركات والسياسيين والمديرين التنفيذيين والمشاهير لإدارة عملية احتيال عبر العملة المشفرة.
وتم القبض عليه بعد عملية مشتركة نسقها مكتب التحقيقات الفيدرالي ومصلحة الضرائب والخدمة السرية.
واستمرت المنصة بترقية وتحسين دعم المصادقة الثنائية 2FA على مدار السنوات القليلة الماضية. مع تركيز واضح على مفاتيح الأمان باعتبارها طريقة المصادقة الثنائية 2FA الأساسية.
وأضافت مفاتيح الأمان لأول مرة كواحدة من عدة طرق للمصادقة الثنائية 2FA على الويب في 2018.
وتضمنت دعمًا لاستخدامها بواسطة الحسابات التي تدعم المصادقة الثنائية 2FA عند تسجيل الدخول إلى تطبيقات الأجهزة المحمولة بعد ذلك بعامين، في شهر ديسمبر 2020.
تحاول تفادي الاختراق الذي حصل سابقًا
تمت ترقية دعم مفتاح الأمان لاحقًا إلى معيار WebAuthn. الذي يوفر مصادقة آمنة عبر الويب ويجعل من الممكن استخدام المصادقة الثنائية 2FA دون رقم هاتف.
وفي عام 2021، أضافت المنصة دعمًا لاستخدام مفاتيح الأمان المتعددة عبر الحسابات التي تدعم المصادقة الثنائية 2FA.
واعتبارًا من شهر يوليو، يمكن استخدام مفاتيح الأمان كطريقة المصادقة الثنائية 2FA الوحيدة مع تعطيل جميع طرق تسجيل الدخول الأخرى.
ومع ذلك، بالرغم من كل جهودها، كشفت الشركة عن معدل تبني منخفض للمصادقة الثنائية 2FA. إذ إن 2.3 في المئة من جميع حسابات المنصة النشطة قد مكنت طريقة مصادقة ثنائية 2FA واحدة على الأقل. وذلك بين شهري يوليو وديسمبر 2020.
علاوة على ذلك من بين 2.3 في المئة من جميع المستخدمين الذين قاموا بتمكين المصادقة الثنائية 2FA خلال فترة التقرير هذه. استخدم 79.6 في المئة تطبيقًا قائمًا على الرسائل القصيرة. و 30.9 في المئة تطبيق المصادقة المتعددة العوامل MFA. و 0.5 في المئة مفتاح أمان.
وبالرغم من أن بعض حسابات الرفيعة المستوى قد تم اختطافها بنجاح في العام الماضي بالرغم من تمكين المصادقة الثنائية 2FA بعد أن تمكن المهاجمون من الوصول إلى أنظمة الإدارة الداخلية في ، فإنه لا يزال يتعين عليك التبديل إلى المصادقة الثنائية 2FA للحماية من محاولات القرصنة الأقل تعقيدًا باستخدام التصيد الاحتيالي أو تبديل بطاقة SIM.
تسمح لمشتركي Twitter Blue بتجربة الميزات الجديدة
