2014/11/03

Hackers passaram 2-Step do Google?

Não nos cansamos de referir que, para quem leva a sua segurança online a sério, é obrigatório usar-se um sistema de autenticação "2-step" como o que o Google disponibiliza. Só que, para nos relembrar que não há métodos absolutamente seguros a 100%, parece ter havido um caso em que nem este sistema 2-step evitou que hackers se apoderassem da conta Google de um developer.

Como developer, Grant Blakeman estará informado dos riscos a que as nossas identidades digitais estão sujeitas, e usava o Google 2-step para segurança acrescida. Por isso imaginem a sua surpresa quando descobriu que hackers lhe tinham conseguido fazer reset à password do Instagram usando o seu endereço do Gmail.

Perante a aparente impossibilidade de que alguém se tivesse apoderado da sua conta do Google com 2-step, foi Mat Honan (que já passou pelo pesadelo do hacking que quase lhe apagou toda a sua vida digital) que lhe deu a dica que terá ajudado a desvendar o mistério.

Ao que parece, a falha foi novamente o factor humano, com os hackers a terem conseguido convencer o seu operador de telecomunicações a redireccionar as suas mensagens para outro número (sob o controlo dos atacantes) e assim recebendo os códigos de autenticação que o Google envia, ultrapassando a "barreira" que o 2-step coloca. Algo que parece ser mais fácil do que se pode pensar, uma vez que, como alguns assistentes referem, muitas vezes são avaliados pelo "grau de satisfação" aos clientes, o que os incentiva a serem prestáveis neste tipo de situações.

O que importa reter é que não há métodos 100% seguros - e que quem se quiser aproveitar do sistema irá sempre recorrer ao elo mais fraco de toda a cadeia de segurança. Se calhar a melhor forma será cortar o vosso operador de telecomunicações da equação, e passar a usar apenas a app de geração de códigos, ou aquelas chaves USB de segurança.

5 comentários:

  1. Okay usava o 2-step mas não a app de autenticação... com a app os hackers já não lhe faziam nada, pois tinham mesmo que ter o telemóvel dele ou acesso já à conta.

    ResponderEliminar
    Respostas
    1. Eu também uso a app, mas a não ser que removas o telefone da conta, podes escolher usar um código enviado via SMS em vez de um da app.

      Eliminar
    2. E o SMS dá jeito para quando reinstalamos a nova versão Lollipop no smartphone e temporariamente não temos a App configurada (apesar de haver uns quantos codigos de emergencia não são infintos ;)

      Eliminar
    3. Sim, mas para fazeres isso tens que ter acesso à conta. O meu point é que não estando as sms ativas eles não tinham conseguido interceptar um código, visto que a falha aqui foi da telecomunicadora e não da google.

      Eliminar
  2. Resumindo, podemos dormir sossegados, por cá as operadoras nem respeitam os pedidos dos donos legítimos quanto mais de outra pessoa :) :) :) :)

    ResponderEliminar