ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ve güvenlik firması Mandiant, X'in iki faktörlü kimlik doğrulama ayarlarında yapılan değişiklikler nedeniyle hesaplarının ele geçirilmesiyle karşılaştılar. Bu hafta, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), hackerların X sosyal medya hesabına erişim sağlayarak bitcoin ile ilgili çok beklenen bir SEC duyurusu hakkında sahte bilgiler yayımladığı utanç verici ve piyasa hareketlerine neden olan bir ihlal yaşadı. Kurum, hesabının kontrolünü bir saat içinde geri aldı ve gönderiyi sildi, ancak durum endişe verici, özellikle de Google'a ait olan tanınmış ve saygın güvenlik firması Mandiant'ın geçen hafta benzer bir olayda X hesabının ele geçirilmesi göz önüne alındığında. Her iki olayda da tam olarak ne olduğunu anlamak için detaylar hâlâ ortaya çıkıyor, ancak hesapların ele geçirilmesini mümkün kılan ortak noktalar var ve kendinizi korumanın yolları mevcut. Önemli olan, her iki hesabın da ele geçirilme sırasında "iki faktörlü kimlik doğrulama" olarak bilinen dijital korumadan yoksun olmasıydı. 2FA olarak da bilinen bu savunma, bir kişinin giriş bilgilerine ek olarak dönen bir sayısal kod veya fiziksel bir dongle gerektirir, bu yüzden her şey sadece kullanıcı adı ve parolaya bağlı değildir. SEC, Şubat 2023'te X'in, sadece Blue aboneliği için ödeme yapan hesapların metin mesajı ile gönderilen iki faktörlü kodlara erişim sağlayabileceği politika değişikliği sonucu iki faktörlü kimlik doğrulamanın kazara kapalı olup olmadığını henüz açıklamadı. Mandiant, Çarşamba günü yaptığı açıklamada, bu değişikliğin, X hesabı için bu korumayı etkinleştirmemelerinin nedeni olduğunu belirterek, "Normalde, 2FA bu durumu hafifletirdi, ancak bazı ekip geçişleri ve X'in 2FA politikasındaki değişiklikler nedeniyle yeterince korunmadık," dedi. Mandiant, hackerların X hesabını koruyan parolayı "brute force" saldırısıyla tahmin edebildiklerini söyledi. X, Salı günü yaptığı açıklamada, SEC hesap saldırısının "tanımlanamayan bir kişinin, üçüncü bir taraf aracılığıyla @SECGov hesabıyla ilişkilendirilmiş bir telefon numarasının kontrolünü ele geçirmesi" sonucu meydana geldiğini belirtti. Bu iki olay, X hesabınızı güvence altına almak için atmanız gereken en önemli adımları ortaya koyuyor. İlk olarak, hesabınızın güçlü ve benzersiz bir parola ile korunduğundan emin olun. İkinci olarak, hesabınız için iki faktörlü kimlik doğrulamayı açın veya zaten açık olduğunu düşünüyorsanız, kontrol edin. X'in, temel bir iki faktörlü kimlik doğrulama biçimi için ödeme yapmayı zorunlu hale getirmesi sorunlu. Şirket, ücretsiz kullanıcıları SMS iki faktörlü kimlik doğrulamadan uzaklaşmaya teşvik etti, ancak ardından bu korumayı tamamen kapattı. Bu, iki faktörlü kimlik doğrulamanın açık olduğunu düşünen ama aslında açık olmayan bir kullanıcı grubunu muhtemelen geride bıraktı. İki faktörlü kimlik doğrulamanın açık olduğunu doğrulamak veya ilk kez etkinleştirmek için, X hesabınıza giriş yapın, Ayarlar ve gizlilik, ardından Güvenlik ve hesap erişimi, Güvenlik ve ardından İki faktörlü kimlik doğrulama'ya gidin. (Ayrıca buraya tıklayabilirsiniz, eğer X'e zaten giriş yaptıysanız). Bu ekranda, kod üreten bir uygulama veya fiziksel bir güvenlik anahtarı kullanarak iki faktörlü kimlik doğrulamayı seçebilirsiniz. Ayrıca, ikinci faktöre erişiminizi kaybetseniz bile X'e giriş yapmak için yedek kodlar oluşturabilirsiniz. Son olarak, X hesabınıza bağlı bir telefon numarası olmadığından emin olun. Twitter, yüksek profilli hesapları "doğrulamak" için telefon numaraları kullanır ve ayrıca "Ek parola koruması" adı verilen bir özellik sunar, bu özellik ile "parolanızı sıfırlamak için hesapla ilişkili telefon numarasını veya e-posta adresini sağlamanız gerekmektedir." Ancak, SEC'in X hesabıyla ilişkili bir telefon numarasına sahip olarak, kendisini daha büyük bir risk altına soktuğu görülüyor çünkü saldırganlar, SIM değiştirme olarak bilinen bir saldırı kullanarak öncelikle ilişkili telefon numarasının kontrolünü ele geçirerek hesaba erişim sağlayabilirler. Uzun süredir hesap ihlalleri araştırmacısı ve SocialProof Security CEO'su Rachel Tobac, "Telefon numaranızı Twitter'dan tamamen kaldırarak Twitter'ın riskli metin mesajı tabanlı parola sıfırlama akışıyla SIM değiştirme tehdidinden kaçınmanızı sağlayın," diyor. Tobac ayrıca X kullanıcılarının "2FA'yı açmalarını-en azından uygulama tabanlı olanını tavsiye ediyorum-ve hesaba güçlü bir parola koymalarını" öneriyor. X'in güçlü hesap güvenliğini etkinleştirmeyi daha karmaşık hale getirmesine rağmen, SEC ve Mandiant'ın hatalarından ders almak önemlidir.