Uh Oh! „TikTok“ daugelio veiksnių autentifikavimą galima apeiti naršyklėse

Nepaisant įtampos, susijusios su programos ateitimi JAV, „TikTok“ vis dar stipriai veikia. Tačiau yra svarbi problema dėl vienos puikios saugos funkcijos, kurią programa pridėjo rugpjūtį. „Tiktok“ daugelio veiksnių autentifikavimą galima visiškai praleisti, jei prisijungiate prie platformos naudodamiesi žiniatinklio naršykle.

Šių metų pradžioje „TikTok“ pagaliau pridėjo tam tikrą dviejų veiksnių autentifikavimo formą kaip puiki ir labai reikalinga nauja funkcija. Tačiau paaiškėja, kad kelių veiksnių autentifikavimas įsijungia tik tuo atveju, jei „TikTok“ naudojamas mobiliajame telefone. Tiesą sakant, tai reiškia, kad jei blogi veikėjai turi vartotojo prisijungimo duomenis , jie gali gauti prieigą prie savo paskyros paprasčiausiai prisijungę prie naršyklės, visiškai išvengdami MFA žingsnio.

„TikTok“ griežtai pareiškė, kad artimiausiu metu ketina išplėsti savo MFA funkciją, kad apimtų interneto naršyklės naudojimą.

Laimei, net jei tariamai užpuolus pavyko perimti „TikTok“ paskyrą per naršyklės MFA praleidimo išnaudojimą, viskas nėra taip baisu, kaip atrodo. Naršyklės versijoje esančioje žiniatinklio informacijos suvestinėje yra ribotas funkcionalumas, palyginti su mobiliąja. Pvz., Negalima visiškai perimti paskyros pakeitus slaptažodį. Tokia prieiga ir funkcijos yra tik programoje mobiliesiems.

Tačiau blogi aktoriai vis tiek galėjo naudoti pažeistą paskyrą, norėdami per ją paskelbti vaizdo įrašus, skleisti sukčiavimą ar bandyti kitaip pažeisti vartotoją. Tos gana ribotos galimybės nėra be pasekmių, nes galimas masiškas sąskaitų perėmimas gali būti naudojamas gerai organizuotoms sukčiavimams vykdyti ir netikroms naujienoms platinti.

Kita problema, kuri buvo aptikta žiniatinklio informacijos suvestinėje, yra ta, kad mobiliajame telefone esantis vartotojas negauna jokio pranešimo, kad šiuo metu jo paskyra naudojama naršyklėje. Tikimės, kad tai bus išspręsta ateityje, kartu su MFA taisymu naršyklėms.

Kodėl turėtumėte naudoti MFA, kai tik galite

Daugelio veiksnių autentifikavimas tapo palyginti plačiai paplitusia papildoma saugumo priemone, kurią platformos siūlo savo vartotojams. MFA paprastai priverčia kiekvieną, bandantį prisijungti prie paskyros, pateikti specialų saugos raktą ar žetoną, kuris dažnai pateikiamas tekstu žinomu ir patikimu mobiliojo įrenginio numeriu. Tai labai apriboja tikimybę, kad blogi veikėjai grubiai verčia slaptažodžius arba naudoja suklastotus kredencialus, kad perimtų sąskaitas bet kurioje platformoje, nes įvedamas papildomas žingsnis, reikalaujantis prieigos prie vartotojo mobiliojo telefono.

Tai nereiškia, kad makrofinansinė pagalba siūlo 100% apsaugą nuo išpuolių, nes buvo žinoma apie tam tikrų makrofinansinės pagalbos priemonių apėjimo atvejus. Nepaisant to, tai yra įrankis, kurį visada reikia naudoti, kai jis yra, nes jis žymiai sumažina jūsų paskyros riziką bet kurioje platformoje.