De twee-staps-verificatie van Twitter is gemakkelijk te omzeilen, ontdekten onderzoekers van beveiligingsbedrijf F-Secure.

Twee-staps-verificatie is een manier om na het inloggen te verifiëren dat een account niet is gehackt. Twitter stuurt dan een sms'je naar de telefoon van de gebruiker met daarin een code. Pas als die juist wordt ingevoerd krijgt de gebruiker toegang.

Dit is echter makkelijk te omzeilen als het telefoonnummer dat aan een account gekoppeld is bekend is, schrijft F-Secure op een blog. Het is mogelijk om de beveiliging aan te zetten door enkel een sms'je met de tekst 'STOP' te sturen vanaf het juiste telefoonnummer.

Het is echter niet heel moeilijk om te doen alsof een sms vanaf een ander nummer is verstuurd. Zo kan tweestapsverificatie worden uitgezet door iedereen die een telefoonnummer kan 'spoofen'.

Aanzetten

Nog erger is volgens F-Secure dat twee-staps-verificatie ook kan worden aangezet met een sms'je. Wie het wachtwoord van een account weet te bemachtigen door bijvoorbeeld phishing, kan twee-staps-verificatie aanzetten op elk telefoonnummer, door een sms'je te sturen.

Er hoeft vervolgens geen verificatiecode te worden ingetoetst, dus het is ook mogelijk om de extra beveiliging aan te zetten op een niet-bestaand nummer, als deze wordt gespooft. Het wordt dan onmogelijk om nog in te loggen op het account.

"Dus misschien moet je de twee-staps-verificatie voor je account toch activeren, voordat iemand anders het voor je doet", aldus F-Secure. Het activeren van twee-staps-verificatie werkt nog niet met een Nederlands mobiel nummer.