A autenticação de dois fatores é geralmente vista como a aposta mais segura para proteger suas contas na internet. Mesmo que alguém roube sua senha, é preciso ter outro código – geralmente enviado por SMS ao seu celular – para obter acesso.
Mas o desenvolvedor Grant Blakeman, cuja conta do Instagram foi
hackeada através do Gmail, revela como nem mesmo esse método de
autenticação pode vencer todas as ameaças de segurança.
Blakeman diz no Ello
que hackers obtiveram acesso ao Gmail dele para então roubarem sua
conta do Instagram. Mesmo tendo ativado a autenticação de dois fatores,
os hackers conseguiram redefinir a senha dele no Google e assumiram o
controle.
Como eles fizeram isso? Blakeman diz que o jornalista Mat Honan, da Wired – que foi vítima de uma invasão semelhante – sugeriu que ele entrasse em contato com a operadora de celular dele.
Foi então que ele descobriu: o número de celular dele estava encaminhando ligações e mensagens para outro
número. Então os hackers pediram para redefinir a senha, o Google
enviou um código de confirmação via SMS, e Blakeman perdeu o acesso à
própria conta.
Eu liguei para a operadora, e eles disseram que meu número estava sendo encaminhado, desde sábado de manhã, para outro número que eu não conhecia. Surreal. Então, até onde eu posso dizer, o ataque começou na verdade em minha operadora de celular, o que permitiu algum nível de acesso ou de engenharia social à minha conta do Google, que então permitiu aos hackers receber um e-mail de redefinição de senha do Instagram, dando-lhes controle da conta.
Mas como a operadora deixou outra pessoa redirecionar as ligações e
mensagens de Blakeman? Isso é feito através do atendimento telefônico,
e requer que a pessoa responda a algumas questões de segurança – mas nos
EUA, não é muito difícil contorná-las.
No Hacker News,
o comentarista jasonisalive – que diz trabalhar para uma operadora –
afirma que os atendentes muitas vezes recebem comissões com base na
satisfação do cliente, o que cria “uma tensão constante entre fornecer
uma boa experiência ao cliente e proteger a segurança e privacidade”.
Afinal, muitas perguntas – seu nome completo, CPF, endereço etc. – podem
até proteger sua privacidade, mas são irritantes.
Felizmente, Blakeman tem contatos com pessoas em cargos altos e conseguiu restaurar as contas do Instagram e Google. Ele reativou a verificação em dois passos, mas agora usa o app Google Authenticator para gerar códigos de segurança, em vez de recebê-los via SMS. (O Google também oferece uma chave de segurança USB para essa mesma finalidade.)
No entanto, esta história é uma advertência: a autenticação de dois
fatores parece muito melhor que apenas uma senha, mas ainda tem suas
falhas. [Ello via Hacker News]
Via: Gizmodo
Nenhum comentário:
Postar um comentário