Hackers Driblaram Autenticação de Dois Fatores Para Invadir Conta do Google

A autenticação de dois fatores é geralmente vista como a aposta mais segura para proteger suas contas na internet. Mesmo que alguém roube sua senha, é preciso ter outro código – geralmente enviado por SMS ao seu celular – para obter acesso.

Mas o desenvolvedor Grant Blakeman, cuja conta do Instagram foi hackeada através do Gmail, revela como nem mesmo esse método de autenticação pode vencer todas as ameaças de segurança.

Blakeman diz no Ello que hackers obtiveram acesso ao Gmail dele para então roubarem sua conta do Instagram. Mesmo tendo ativado a autenticação de dois fatores, os hackers conseguiram redefinir a senha dele no Google e assumiram o controle.

Como eles fizeram isso? Blakeman diz que o jornalista Mat Honan, da Wired – que foi vítima de uma invasão semelhante – sugeriu que ele entrasse em contato com a operadora de celular dele.

Foi então que ele descobriu: o número de celular dele estava encaminhando ligações e mensagens para outro número. Então os hackers pediram para redefinir a senha, o Google enviou um código de confirmação via SMS, e Blakeman perdeu o acesso à própria conta.

Palavras de Blakeman

Eu liguei para a operadora, e eles disseram que meu número estava sendo encaminhado, desde sábado de manhã, para outro número que eu não conhecia. Surreal. Então, até onde eu posso dizer, o ataque começou na verdade em minha operadora de celular, o que permitiu algum nível de acesso ou de engenharia social à minha conta do Google, que então permitiu aos hackers receber um e-mail de redefinição de senha do Instagram, dando-lhes controle da conta.

Operadora Telefônica 

Mas como a operadora deixou outra pessoa redirecionar as ligações e mensagens de Blakeman? Isso é feito através do atendimento telefônico, e requer que a pessoa responda a algumas questões de segurança – mas nos EUA, não é muito difícil contorná-las.

No Hacker News, o comentarista jasonisalive – que diz trabalhar para uma operadora – afirma que os atendentes muitas vezes recebem comissões com base na satisfação do cliente, o que cria “uma tensão constante entre fornecer uma boa experiência ao cliente e proteger a segurança e privacidade”. Afinal, muitas perguntas – seu nome completo, CPF, endereço etc. – podem até proteger sua privacidade, mas são irritantes.

Conclusão

Felizmente, Blakeman tem contatos com pessoas em cargos altos e conseguiu restaurar as contas do Instagram e Google. Ele reativou a verificação em dois passos, mas agora usa o app Google Authenticator para gerar códigos de segurança, em vez de recebê-los via SMS. (O Google também oferece uma chave de segurança USB para essa mesma finalidade.)

Fonte: Gizmodo

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário