La llegada de la doble autenticación a la red social Twitter este misma semana estaba cantada, aparentemente aumentando la seguridad para impedir el robo de identidad. Una característica que tienen otras grandes empresas como Google, Facebook, PayPal, Dropbox, Apple, el servicio de gestión de contenido WordPress o la misma Microsoft, y que aprimera vista parecía una victoria.

No tan rápido ya que en apenas un día, investigadores de F-Secure han logrado hackear el sistema de manera sencilla, asegurando que “un atacante podría utilizar la suplantación de SMS para desactivar 2FA si conoce el número de teléfono del destino”.

El problema es que Twitter utiliza SMS como una forma de enviar y recibir tweets y también en el nuevo servicio de autenticación, por lo que el envío de un simple comando ‘STOP’ elimina el número de teléfono de la cuenta y a su vez desactiva la doble autenticación.

Además, si Microsoft, Google o Facebook, tienen un proceso de recuperación de cuentas, Twitter sólo dispone de una página de restablecimiento de contraseña, explican desde F-Secure. Tienen mucho trabajo que realizar en el sitio de microblogging.

F-Secure ha realizado y publicado el proceso que puedes ver en este enlace.

Fuente: muyseguridad