Twitter laat gebruikers betalen voor tweefactorauthenticatie via sms, mag dat van de AVG?

OpenClipart-Vectors / Pixabay

Bestaande Twitter-gebruikers die van tweefactorauthenticatie (2FA) via sms gebruikmaken zullen hier vanaf 20 maart voor moeten betalen. Dat meldde Security.nl onlangs. Het platform heeft de beveiligingsmaatregel namelijk onderdeel gemaakt van het betaalde Twitter Blue-abonnement. Voor velen reden om me te vragen, “mag dat wel” met name omdat de AVG adequate beveiliging eist en dit toch een manier is om velen van de sms 2fa af te krijgen.

De reden die Twitter opgeeft is het veelvoorkomende misbruik van deze functie, wat met name een probleem is omdat elk sms-bericht Twitter geld kost (en niet de gebruiker). Twitterbaas Musk stelt dat dit aan bots van de telecomoperators zou liggen, wat ik niet helemaal begrijp maar ik ben dan ook maar een jurist.

Oké, dus mag het van de AVG? Die eist immers dat je persoonsgegevens adequaat beveiligt (art. 32) en bij online dienstaccounts van de omvang van Twitter is 2fa dan wel een aangewezen maatregel. Alleen: specifiek de vorm met sms is dan weer de slechtste keuze, omdat sim swapping een makkelijke truc is om de authenticatieberichten om te leiden en daarmee het account te kapen. Een 2fa authenticatieapp of liever nog een securitykey zijn veel betere opties.

De ophef komt met name omdat mensen die voor 2fa kiezen, vrijwel altijd voor sms kiezen en dan zich nu gedwongen zien om over te stappen. Beter zou zijn om nu dus te wisselen naar een authenticatieapp. En dat mag van de AVG.

Arnoud

 

11 reacties

  1. Ik zit er iets anders in: als het bedrijf expliciet stelt dat SMS-MFA geen adequate beveiliging is, dan moet men het niet aanbieden. Ook niet als betaalde dienst. Hooguit als je expliciet een slechte-beveiliging-dienst in de catalogus hebt, niet als extraatje bij je blauwe vink. Als je SMS expliciet als onveilig beschrijft, schakel het uit en, biedt alleen OTP / apps.

    (Terzijde: zou het mogelijk zijn dat Elon de SMSjes-factuur onder ogen kreeg en vond dat daar inkomsten ipv. uitgaven van moest worden gemaakt?)

  2. De ophef komt met name omdat mensen die voor 2fa kiezen, vrijwel altijd voor sms kiezen en dan zich nu gedwongen zien om over te stappen.

    Dit is volgens mij een redelijk optimistisch beeld van de situatie. Authenticator apps en hardware sleutels zijn nu eenmaal een stuk ingewikkelder voor de meeste mensen, dus deze zullen zich nu gedwongen zien om 2FA dan maar uit te zetten.

    1. Een sleutel is volgens mij niet echt complexer, maar vooral minder wijdverspreid bekend. Gechargeerd: iedereen heeft een mobieltje en kan sms ontvangen, niet iedereen heeft een fysieke sleutel gekocht. Hoeveel moeite hebben Twitter-gebruikers werkelijk met het insteken van een usb-device? Echt complex in technisch oogpunt vind ik het niet te noemen.

      De AVG schrijft adequate beveiliging voor en in de gratis versie is 2FA nog altijd een optie. De AVG schrijft (gelukkig) geen specifieke methode voor.

  3. Twitterbaas Musk stelt dat dit aan bots van de telecomoperators zou liggen, wat ik niet helemaal begrijp maar ik ben dan ook maar een jurist.

    Deze kan ik uitleggen, het heet SMS Pumping Fraud: https://support.twilio.com/hc/en-us/articles/8360406023067-SMS-Traffic-Pumping-Fraud

    Nu doe ik via mijn werk ook zaken met Twilio, en we zijn ook tegen dit probleem aangelopen. Het is zoals de betaalnummers van vroeger: Een malifiede partij zet een aantal betaalnummers op in Verlandie, en vraagt vervolgens veel verificatie SMSjes aan bij bijvoorbeeld Twitter. De verzender betaald de hoofdprijs, en het is moeilijk om te detecteren als je internationaal opereerd.

      1. Je hebt een “betaalnummer”. Je maakt een Twitter account aan. Je configureert SMS authenticatie voor dat account naar je betaalnummer. Iedere inlogpoging op Twitter levert je nu een paar centen op. Herhaal met meer accounts en automatiseer.

          1. Jeroen, wat mij betreft sla je de spijker op de kop. Twitter kan natuurlijk “dure” nummers blokkeren, maar dan moeten ze wel weten welke het zijn. Dat is in de meeste landen een stuk onduidelijker dan in Nederland waar de 0900 en 0909 nummerblokken gereserveerd zijn voor betaaldiensten. Lees ook het verhaal van erik hieronder.

            Voor Twitter heeft SMS-verificatie koppelen aan het premium pakket het voordeel dat er ook een koppeling met een creditcard en een persoon is. Dit maakt het makkelijker om de schade van misbruik te verhalen.

  4. OTP wordt inderdaad veel misbruikt. Wat ze doen is sms-jes genereren naar telefoonnummers op een bepaald netwerk (vaak in landen als Rusland, Pakistan of India). De netwerk operator (zoals in Nederland T-Mobile of KPN of Vodafone bijvoorbeeld) rekent namelijk geld voor elk smsje wat hij aflevert. En dan zijn OTP smsjes vaak nog duurder ook, omdat die snel aan moeten komen en gegarandeerd aan moeten komen. Dus de operator wordt rijk van al die smsjes naar nummers op hun netwerk. Door die verificatie smsjes te triggeren met een script genereren ze geld voor zichzelf. Ze zullen uiteraard altijd ontkennen dat het iemand van de telecom operator zelf is, maar dat ligt voor de hand. Overigens zijn er voor apps wel oplossingen voor dit probleem, zowel Android als iOS hebben bibliotheken warmee je kunt controleren of een bepaalde aanroep (dus bijvoorbeeld een OTP aanroep) wel echt vanuit de app komt, en niet vanuit een script. Dus dit is geen onoplosbaar probleem.

    1. Ik mis denk ik even waarom telecomoperators zélf sms-jes gaan sturen om zo extra inkomsten te genereren? Zeker bij een beursgenoteerd bedrijf zou dergelijke fraude toch uit moeten komen met alle consequenties van dien. Is dat echt de extra inkomsten waard?

      Dat een malafide ondernemer een truc ziet, dat herken ik wel. Maar een manager bij T-Mobile die de omzet ziet zakken, gaat die echt dit inzetten om de kwartaalbonus te halen?

      1. Smsjes moeten afgeleverd worden bij de provider van de ontvanger. Dat gaat meestal via verschillende stappen. Behalve providers zitten daar ook zogenaamde ‘aggregators’ tussen die bulk afspraken maken met meerder providers en zo goedkoper af kunnen leveren. Een sms gaat dus van netwerk naar netwerk tot het bij de provider komt waar het afgeleverd moet worden. Al die partijen rekenen geld voor de doorgifte. Grote Nederlandse providers zullen niet heel snel dit soort fraude plegen, maar kleine providers in wat schimmigere landen zeker wel. Ook kan een aggregator soms herleiden dat OTP berichten naar bepaalde nummers over hun netwerk gaan..een sms versturen kost 3 tot 6 cent, maar ik heb fraude in de duizenden dollars zien lopen met deze methode.

        Bron: ik werk bij een Nederlandse aggregator en heb specifiek gewerkt aan software om sms fraude te detecteren. (Er is nog op veel andere manieren misbruik te maken van sms, maar dat is een ander verhaal)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.