2012/08/08
Apple e Amazon Suspendem "Protocolos" via Telefone
As consequências ao caso de hacking da conta iCloud de Mat Honan continuam a fazer-se sentir. Depois de se ter descoberto que tudo teve início com a obtenção dos 4 últimos dígitos do seu cartão de crédito usando uma técnica engenhosa na Amazon, que possibilitou fazer o reset da password na Apple, eis que Amazon e Apple tentam reagir rapidamente para que isto não volte a acontecer.
A Amazon já alterou as suas regras, fazendo com que deixe de ser possível alterar dados da conta dos utilizadores via telefone. E também a Apple suspendeu a possibilidade de se fazer reset à password por via telefónica.
Faltará agora saber que métodos a Apple (e outras empresas que estejam vulneráveis a ataques idênticos) irá utilizar para garantir que este tipo de situação não volte a acontecer - ou pelo menos, que não seja tão fácil como era até ao momento, dependendo unicamente de dados que eram facilmente adquiridos por "qualquer pessoa".
Penso que mesmo tendo sido um episódio bastante infeliz (especialmente para Mat Honan, que perdeu todos os dados que tinha no seu computador, incluindo 18 meses de fotografias da sua filha recém-nascida), tudo isto servirá de alerta para que todas as empresas passem a levar a segurança dos seus utilizadores bem mais a sério... e isso inevitavelmente irá levar a que muitas mais empresas comecem a considerar sistemas de validação "2-step" (como o usado pelo Google), e eventualmente... até a trazer um novo fôlego para os sistemas de identificação biométrica.
Subscrever:
Enviar feedback (Atom)
Viva
ResponderEliminarAcertasse eu no Euromilhões... eheheh...
Daqui a uns anos falar-se-á do antes e depois do hack à conta do Mat Honan: "... lembram-se quando através de... se podia... facilmente..., agora que fui operado à cataratas, já não consigo entrar no meu email..."
http://abertoatedemadrugada.com/2012/08/a-recuperacao-da-passwords-na-apple.html?showComment=1344356416971#c1579655838907050469
Sim... há uma fina linha que separa aquilo que deverá estar ao alcance do utilizador para recuperar as suas contas... daquilo que pode ser abusado por terceiros para esse mesmo fim.
EliminarPois, é que o "2-step" é mais seguro mas também pode trazer chatices.
ResponderEliminarSupondo que o segundo passo de autenticação (o primeiro é o nome e password) é a introdução de um código enviado por SMS e o telemóvel se estraga e é enviado para reparação o remédio é ir comprar outro (e passar para lá o cartão SIM ou pedir para atribuírem o mesmo número de telefone ao novo cartão SIM).
Os bancos já usam "2-step" (dígitos correspondentes a coordenadas num cartão ou dígitos enviados por SMS - agora, com frequência já se usam os dois, o que dá "3-step") há muito tempo. Gostava era de saber a percentagem de utilizadores de contas Gmail - ou da Apple, se criar essa opção - que activam o "2-step".
Usando o não sei quê antropomórfico, como a íris, como é que faz quando não se tem uma máquina por perto para a ler ?
Sobra a conta de recuperação, quando existe, e as perguntas a questões de identificação/segurança, por telefone ou online. Essas questões (nome, morada, dígitos do cartão de crédito, etc) estão previstas para serem reais - senão ninguém se lembra delas (eu tenho respostas irreais, anotadas porque obviamente não me lembro das respostas).
Qualquer um pode vir a ser um novo Mat Honan.