Η επαλήθευση σε δύο βήματα είναι ένας τρόπος τον οποίο χρησιμοποιούν οι εταιρείες κυρίως τα τελευταία χρόνια πιο εντατικά για να δώσουν στους χρήστες τους έναν δεύτερο τρόπο προστασίας από τους κακόβουλους χρήστες. Ωστόσο μία ομάδα Κινέζων hacker η οποία ονομάζεται APT20 κατάφερε να παρακάμψει την επαλήθευση σε δύο βήματα χωρίς να απενεργοποιήσει το σύστημα ασφαλείας. Με απλά λόγια η μέθοδος που ακολούθησε η APT20 καθιστά αυτήν την μέθοδο ασφαλείας ευάλωτη.
Η APT20 σύμφωνα με πληροφορίες, χρησιμοποίησε το Operation Wocao όπως το ονομάζει η Fox-IT και το λογισμικό RSA SecurID το οποίο κλάπηκε από έναν λογαριασμό. Με την χρήση λοιπόν του λογισμικού και μία τροποποίηση στο κλειδί, η APT20 μπόρεσε να κάνει το hack να δουλέψει σε όλα τα συστήματα ασφαλείας ξεγελώντας τα με αποτέλεσμα αυτά να επιτρέψουν την σύνδεση.
Για όσους δεν γνωρίζουν, η επαλήθευση σε δύο βήματα, βασίζεται σε δύο διαφορετικά συστήματα οπότε αν οι hacker μπορούν να ξεγελάσουν το ένα τότε μπορούν εύκολα να ξεγελάσουν και το άλλο. Τέλος, αξίζει να σημειωθεί ότι αυτήν την στιγμή δεν υπάρχει κάποια λύση στο πρόβλημα.
0 σχόλια:
Δημοσίευση σχολίου