Šis ir vnk episki.
@laacz tvītu arhīvs
Sakarā ar to, ka Twitter ir slēdzis bezmaksas piekļuves savam API, šis projekts var tikt uzskatīts par mirušu sākot ar 2023. gada 15. jūniju.
Šis ir tvitera pavediens. No senākā uz svaigāko. Tvītu skaits: 23
@laacz Tehniski authenticator app ir drošāks :P
@neiebraucu Trhbiski Twitter piedāvā OTP?
@laacz Lmao https://twitter.com/vxunderground/status/1626772219815682049
Twitterr no longer allows SMSS-based two factor authentication unless you're a subscriber to Twitter Bluee. The official Twitterr notice states SMS-based authentication is ripe for abuse by Threat Actors. This does not address why Twitter Bluee can still use SMS-based authentication. https://twitter.com/TwitterSupport/status/1626757587524890624
Effective March 20, 2023, only Twitter Bluee subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FAA. Learn more here: https://blog.twitter.com/en_us/topics/product/2023/an-update-on-two-factor-authentication-using-sms-on-twitter
@neiebraucu O, nezināju, ka viņi tagad piedāvā. Pārslēgšos. PS. SMS nav droši valstīs, kurās sim swap ir vienkārši veicams.
@laacz Tur ir īpaši nedroši, bet kriptogrāfija vienmēr būs drošāka par plain-text blakus kanāla ziņu, es nemaz nesākšu par Stingray un SS7
@laacz Nu labi, nedaudz par SS7 cc: @analiitikjis https://hitcon.org/2015/CMT/download/day1-d-r0.pdf
@laacz Es pilnīgi varu iedomāties dialogu: Elons: kur mēs tērējam šitos 100 miljonus? Inženieris: sūtot SMS lietotājiem Elons: kāpēc mēs sūtam SMS? Inženieris: divfaktoru autentifikācija Elons: atstāt tikai tiem, kas par to maksā
@neiebraucu @laacz Miera Tev nav... Sausa runa - nodemonstrē, lūdzu, no sākuma līdz beigām: noskaidro, piemēram, manu http://tel.nr., tā IMSI, tad atrodi veidu, kā īstenot SS7 uzbrukumu, pie tam tieši tajā brīdī, kad es saņemu konkrētu autorizācijas SMS - Tw vairs nevar, lai iet FB. Ar...
@neiebraucu @analiitikjis Ss7 tikt klāt ir jāvar. Tad nav tik vienkārši vairumā valstu.
@neiebraucu @laacz ... patērēto cilvēkstundu un naudas aprēķinu, ja tas vispār izdosies (par ko es stingri šaubos). Der arī variants - noskaidro, kur atrodos, uzbūvē stingreju un tā tālāk. Jo teorija ir viens, bet prakse: bik kas cits.
@analiitikjis @neiebraucu Teorijā nav starpības starp teoriju un praksi. Peksē ir.
@laacz @neiebraucu Precīzi :D
@analiitikjis @laacz Nu, tavu kontu nav vērts zagt. A vot @laacz gan varētu jau sākt domāt, tur ap 5k sekotāji, tad vēl githabu pie viena nozagt, iepušot kādu backdooru viņa kodā :P
@neiebraucu @analiitikjis 6k. Bet klausi Ģirtu. SS7 bāzēti uzbrukumi ir ļoti dārgi, sarežģīti un prasa milzumu sakritību. Vairumā gadījumu ar tiem nav bērts nodarboties. Ir vienkāršāki veidi.
@laacz @analiitikjis Ignorēt drošības problēmu, un lietot nedrošu risinājumu "jo ir citi lielāki caurumi" nav gluži pareizi.
@neiebraucu @analiitikjis Neviens jau nesaka, ka nevajag lietot, bet SS7 kā caura sieta problēma ir uzpūsta.
@laacz Pēdējās Twitter dienas.
@laacz @analiitikjis Caurs siets ir SMS lietošana, it īpaši kā recovery opcija. Jo ātrāk no tā prom, jo labāk. Tāpēc smieklīgi, ka SMS paliek tikai maksājošiem lietotājiem
@neiebraucu @analiitikjis Protams, bet tā ir vis pieejamākā un universālākā opcija, kā arī ir aumež drošāk par pliku paroli.
@laacz @analiitikjis Varbūt pirms 10 gadiem tā bija. Iekļaut TOTP ģenerāciju ir samērā vienkārši. Atstāt SMS, pārtaisot sitēmu ir nolaidība
@laacz Acīmredzot ir iemesls. https://twitter.com/elonmusk/status/1626996774820024321?s=46&t=CW3UmFumKMHS4fmzS_HImA
@MKBHD Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages
