Efter den seneste tids angreb mod Twitter har tjenesten nu indført to-faktor-autenficering, hvor brugeren foruden sit normale telefonnummer også skal indtaste en sekscifret kode, der sendes per sms. Det skal gøre det sværere at overtage en fremmed persons Twitter-konto. Men sikkerheds-eksperter har allerede fundet metoder til at omgå den ekstra sikkerhed.
Twitter blev tvunget til at reagere efter et angreb mod nyhedsbureauet AP for få uger siden. AP's Twitter-konto blev brugt til at sprede en falsk historie om et bombeangreb mod det Hvide Hus, som kortvarigt påvirkede kurserne på det amerikanske aktiemarked.
F-Secure har nu testet sikkerheden hos Twitter og konstaterer, at man kan snyde sig igennem med det såkaldte "sms spoofing". Twitter tilbyder nemlig også, at man kan sende og modtage tweets per sms. Hvis man sender en sms med ordet "stop", bliver det pågældende mobilnummer automatisk fjernet fra Twitter. Det betyder også, at to-faktor-autenficering bliver deaktiveret.
Det kræver så kun, at angriberen kender mobiltelefon-nummeret for sit offer og sender en falsk "stop" sms med dette nummer som afsender. Så er den ekstra sikkerhed fjernet.
Der er også mulighed for, at en hacker selv kan aktivere to-faktor-autenficering, hvis man har overtaget en fremmed Twitter-konto - og dermed forhindre, at den oprindelige ejer kan få adgang til sin konto igen.
Sikkerhedsfirmaet Toopher beskriver en anden angrebsmetode i en YouTube-video. Her bliver offeret lokket ind på en falsk Twitter-side, hvor man skal indtaste sit kodeord. Det bliver så brugt til at logge på den rigtige Twitter-konti, og der sendes en bekræftelses-sms til telefonen med den sekscifrede kode.
Brugeren indtaster nu denne kode på den falske side - og så har hackeren fri adgang til kontoen.
