Deze week kreeg de Amerikaanse Securities and Exchange Commission (SEC) te maken met een gênante en marktbrekende inbreuk waarbij een hacker toegang kreeg tot zijn X sociale media-account en valse informatie publiceerde over een langverwachte SEC-aankondiging met betrekking tot bitcoin. Het bureau heeft de controle over zijn account teruggekregen en het bericht in minder dan een uur verwijderd, maar de situatie is zorgelijk, vooral gezien het feit dat het door Google beheerde en gerespecteerde beveiligingsbedrijf Mandiant vorige week zijn X-account in gevaar heeft gebracht bij een soortgelijk incident.
De details van wat er precies in elk geval is gebeurd, komen nog steeds naar voren, maar er zijn gemeenschappelijke kenmerken waardoor de accounts konden worden overgenomen – en er zijn manieren om jezelf te beschermen.
Het belangrijkste was dat bij beide accounts de digitale beveiliging, bekend als “tweefactorauthenticatie”, was uitgeschakeld op het moment van downloaden. De verdediging, ook bekend als 2FA, vereist een roterende numerieke code of fysieke sleutel naast de inloggegevens van een persoon, dus het is niet alleen een gebruikersnaam en wachtwoord. De SEC heeft nog niet gezegd of tweefactorcode per ongeluk is uitgeschakeld als gevolg van de beleidswijziging van X in februari 2023, wat betekent dat alleen accounts die een blauw abonnement betalen toegang krijgen tot tweefactorcodes die via sms worden verzonden. Mandiant het is impliciet op woensdag dat deze verandering de reden was dat ze de bescherming voor haar X-account niet inschakelde. Ze zei: “Normaal gesproken zou 2FA dit hebben verzacht, maar door enkele teamovergangen en een verandering in het 2FA-beleid van X waren we niet voldoende beschermd. ”
Mandiant zei dat hackers het wachtwoord konden raden dat zijn X-account beschermde bij een ‘brute force’-aanval. X alleen zei hij dinsdag dat het hacken van het SEC-account het resultaat was van “een niet-geïdentificeerde persoon die via een derde partij controle kreeg over het telefoonnummer dat aan het @SECGov-account was gekoppeld.”
Deze twee incidenten vertegenwoordigen een volledige lijst van de belangrijkste stappen die u kunt nemen om uw X-account te vergrendelen. Zorg er eerst voor dat uw account is beveiligd met een sterk, uniek wachtwoord. Ten tweede: schakel tweefactor in voor uw account of controleer het voor de zekerheid als u denkt dat u er al een heeft. De zet van X om mensen te laten betalen voor een basisvorm van twee-factor is problematisch. Het zorgde ook voor verwarring omdat het bedrijf gratis gebruikers aanmoedigde om over te stappen van twee-factor-sms, maar vervolgens de bescherming schijnbaar eenvoudigweg volledig uitschakelde voor degenen die dat niet deden. Hierdoor heeft een groep gebruikers waarschijnlijk gedacht dat tweefactorauthenticatie is ingeschakeld, terwijl dat in werkelijkheid niet het geval is.
Om te bevestigen dat twee-factor is ingeschakeld, of om dit voor de eerste keer in te schakelen, logt u in op uw X-account en gaat u naar Instellingen en privacyDan Accountbeveiliging en toegang, Beveiligingen dan Tweefactorauthenticatie. (Jij kan ook klik hier als u al bent aangemeld bij X). Op dat scherm kun je kiezen tussen tweefactorauthenticatie met een codegenerator-app of een fysieke beveiligingssleutel. U kunt ook back-upcodes genereren voor uw X login-account, zelfs als u de toegang tot uw andere factor verliest.
Zorg er ten slotte voor dat er geen telefoonnummer aan uw X-account is gekoppeld dat kan worden gebruikt voor accountherstel. Twitter gebruikt telefoonnummers om spraakmakende accounts te ‘verifiëren’ en biedt ook een functie genaamd ‘Extra wachtwoordbeveiliging’, waarmee ‘u het telefoonnummer of het e-mailadres moet opgeven dat aan uw account is gekoppeld om uw wachtwoord opnieuw in te stellen’. Het lijkt er echter op dat de SEC, door een telefoonnummer aan zijn X-account te koppelen, zichzelf in groter gevaar brengt, omdat aanvallers controle over het account kunnen krijgen door eerst het gekoppelde telefoonnummer over te nemen met behulp van een aanval die bekend staat als SIM-swapping. .
“Verwijder je telefoonnummer volledig van Twitter om ervoor te zorgen dat je de dreiging van sim-swapping vermijdt met Twitter’s riskante sms-gebaseerde wachtwoordherstelproces”, zegt Rachel Tobac, al jarenlang accountcompromisonderzoeker en CEO van SocialProof Security. Ze voegt eraan toe dat X-gebruikers “2FA moeten inschakelen – ik raad op zijn minst app-gebaseerd aan – en ervoor moeten zorgen dat je een sterk wachtwoord voor je account hebt.”
Hoewel X het complexer heeft gemaakt om sterke accountbeveiliging mogelijk te maken, is het de moeite waard om te leren van de fouten van de SEC en Mandiant.