ブログに戻る
2fagoogleinstagramidentityhack
2FAの崩壊:なぜGoogleとInstagramはあなたを守れないのか
Googleアカウントの乗っ取りからInstagramのセッションハイジャックまで、「安全な」2FAの時代は終わりつつあります。中央集権型アイデンティティが失敗しています。
Miguel Treviño•
要約:
- 問題: アクティブな2FAを持つ10年前のアカウントが、リカバリー電話番号のリセットとセッショントークンのハイジャックにより完全に乗っ取られています。
- 弱点: 中央集権プラットフォーム(Google、Meta)は、アイデンティティがソーシャルエンジニアリングやハッキングできる「行」に過ぎないデータベースに依存しています。
- 結果: ユーザーは「デジタル死」に直面—メール、写真、アカウントからの完全なロックアウト、中央集権サポートからの救済措置ゼロ。
- 解決策: Zelfの非カストディアルZK顔認証がアイデンティティコントロールをエッジに移動。あなたが鍵であり、ハッカーがひっくり返す中央集権的なスイッチはありません。
10年間、アドバイスはシンプルでした:「二要素認証(2FA)をオンにしろ。」
しかし2FAが十分でない場合はどうなるでしょうか?
KanakaljabirとSushyantからの最近の報告は、中央集権セキュリティの厳しい状況を描いています。
Googleの悪夢
あるユーザーが10年前のGoogleアカウントが乗っ取られたと報告しました。攻撃者はパスワードを推測しただけではなく、リカバリー電話番号を変更し、Authenticatorアプリをスワップし、パスキーをリセットしました。
結果は?完全なロックアウト。被害者のデジタルライフ—メール、写真、連絡先—が一瞬で消え、「コンピューターがノーと言っている」ため救済措置なし。
Instagramのバイパス
同様に、ユーザーはアクティブな2FAにもかかわらずInstagramの侵害を報告しています。セッショントークンのハイジャック(ログイン後の「クッキー」を盗む)や、偽サイトでコードを入力させる洗練されたフィッシングを通じて、6桁のシールドは崩れつつあります。
問題は中央集権化
これらのハッキングが成功するのは、あなたのアイデンティティが中央集権データベースの純粋にデジタルなエントリー(
user_id: 12345)だからです。ハッカーがそのデータベースの行を更新するよう説得できれば—セッショントークンを盗んだりサポートをソーシャルエンジニアリングしたりして—彼らはあなたになります。Zelf:あなたが鍵
Zelfは根本的に異なるアプローチを取ります。私たちはあなたのアイデンティティへの鍵を保持しません—あなたが保持します。
- 非カストディアル:私たちがアカウントを所有したことがないので「リセット」できません。ハッカーはZelfサポートに電話してあなたのふりをすることができません—「マスタースイッチ」がないからです。
- ZK顔認証:Zelfでの認証はコードの送信(盗まれる可能性がある)ではありません。暗号学的にライブネスと所有権を証明することです。
- フィッシング不可:偽ウェブサイトに顔を「入力」することはできません。Zelf証明はあなたの特定のセッションとデバイスにバインドされています。
6桁のコードやメールリセットに頼るのをやめましょう。根本的にアイデンティティを所有しましょう。