Сотрудники Twitter обязаны использовать электронные ключи после взлома 2020 года

Twitter предоставил ключи безопасности всем своим сотрудникам и сделал двухфакторную аутентификацию (2FA) обязательной для доступа к внутренним системам после прошлогоднего взлома.

По словам старшего менеджера по ИТ-продуктам Twitter Ника Фоса и старшего инженера по безопасности Нупура Голапа, компания перевела всех своих сотрудников с устаревшей двухфакторной аутентификации с использованием SMS или приложений аутентификации на электронные ключи менее чем за три месяца. Представители Twitter прокомментировали:

«За последний год мы активизировали усилия по увеличению использования ключей безопасности для предотвращения фишинговых атак. Мы также внедрили ключи безопасности внутри наших сотрудников, чтобы помочь предотвратить инциденты безопасности, подобные тому, что Twitter пострадал в прошлом году».

После взлома в июле 2020 года Twitter показал, что злоумышленники взяли под свой контроль десятки громких учетных записей после кражи учетных данных сотрудников Twitter после атаки с использованием адресного фишинга по телефону 15 июля 2020 года.

Twitter постоянно обновлял и улучшал поддержку двухфакторной аутентификации на платформе в течение последних нескольких лет, уделяя особое внимание ключам безопасности как основному методу двухфакторной аутентификации. Компания впервые добавила ключи безопасности в качестве одного из нескольких методов 2FA в Интернете в 2018 году и включил поддержку их использования учетными записями с поддержкой 2FA при входе в мобильные приложения два года спустя, в декабре 2020 года.

Позднее поддержка ключа безопасности была обновлена до стандарта WebAuthn, который обеспечивает безопасную аутентификацию через Интернет и позволяет использовать 2FA без номера телефона. В 2021 году Twitter добавил поддержку использования нескольких ключей безопасности в учетных записях с поддержкой 2FA. Начиная с июля, электронные ключи теперь можно использовать в качестве единственного метода двухфакторной аутентификации, при этом все остальные методы входа в систему отключены.