Мультифакторную аутентификацию в TikTok можно обойти через веб-сайт

Мультифакторную аутентификацию в TikTok можно обойти через веб-сайт

Мультифакторную аутентификацию в TikTok можно обойти через веб-сайт

Спустя месяц после того, как разработчики TikTok внедрили мультифакторную аутентификацию (MFA), один из пользователей обнаружил серьезный недостаток. Оказалось, что нововведение включили только для мобильного приложения, забыв про соответствующий веб-сайт.

Изъян в имплементации MFA открывает возможность для обхода этого слоя защиты аккаунта: злоумышленник может зайти в учётную запись пользователя через веб-ресурс.

Комментируя сложившуюся ситуацию, представитель TikTok объяснил, что компания в ближайшем будущем планирует внедрить MFA и на официальном сайте.

Другими словами, в настоящее время активировавшие мультифакторную аутентификацию пользователи должны учитывать, что она не защитит их должным образом. Это значит, что придётся использовать как можно более сложные пароли, не повторяющиеся ни на каких других площадках.

Однако такая форма атаки тоже ограничивается небольшой функциональностью веб-версии TikTok. Например, через сайт злоумышленник не сможет поменять пароль. В итоге у атакующего остаются две опции: загрузить видео для дефейса аккаунта или продвигать мошеннические рекламные объявления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В InfoWatch ARMA Industrial Firewall добавили поддержку Alpha.Link

InfoWatch сообщила об обновлении промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.14. В новой версии добавлена поддержка протокола Alpha.Link, используемого в российской платформе для разработки АСУ ТП — «Альфа платформе» от «Атомик Софт».

Этот протокол используется в SCADA-системах различных отраслей: от добывающей промышленности до энергетики и транспорта.

Кроме того, улучшена работа с протоколом CIP/EthernetIP — теперь можно задавать политики безопасности на уровне адресов переменных.

Это даёт возможность разрешать доступ только к конкретным областям памяти ПЛК и создавать универсальные правила, не привязанные к отдельным командам. Такой подход упрощает настройку правил доступа и повышает гибкость.

Также в версии 3.14 появились следующие нововведения:

  • Поддержка 16 промышленных протоколов с разбором до уровня команд, включая Modbus, DNP3, S7 и другие. Это даёт возможность контролировать действия в сетях АСУ ТП на более глубоком уровне.
  • LACP-агрегация каналов теперь доступна через графический интерфейс — это упростило настройку отказоустойчивых соединений.
  • Статусы IPSec-подключений теперь можно отслеживать через SNMP, а MIB-файл доступен для выгрузки — это упростит интеграцию с системами мониторинга.

Обновление ориентировано на повышение управляемости и расширение совместимости с отечественными промышленными решениями. Поддержка протокола Alpha.Link особенно актуальна для предприятий, использующих «Альфа платформу» в своих АСУ ТП.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru