2016/06/12

Hackers ultrapassam autenticação 2-factor com "roubo" dos telefones


Sabendo-se que qualquer passwords é vulnerável, é recomendável utilizar um sistema de autenticação 2-factor sempre que possível - mas há que estar consciente que até este sistema pode ser falível, com uma facilidade assustadora.

O activista social Deray Mckesson descobriu isso da pior forma, quando hackers se apoderaram da sua conta telefónica, bastando para isso saberem os quatro últimos dígitos do seu cartão de segurança social. Com acesso à sua conta telefónica, puderam redireccionar os SMS utilizados para a validação das contas para outro telefone, sendo que noutros casos puderem fazer o reset da password directamente, ultrapassando todas os sistemas de protecção tradicionais.

Serve este episódio para relembrar que existirão sempre elos fracos nos sistemas de segurança, e que serão esses a ser explorados por hackers e atacantes. Neste caso, subverteu-se completamente o sistema, fazendo com que o dispositivo que normalmente pensaríamos servir para dar segurança acrescida no acesso às nossas contas, se tornasse ele próprio na vulnerabilidade.

Neste caso, são referidas várias opções que os operadores de telecomunicações norte-americanos disponibilizam para reforçar a segurança de quem lhes telefone a fazer-se passar por "nós"; e que implicam coisas como um PIN adicional ou password de segurança para que possam ser feitas alterações como as que os hackers fizeram - será interessante saber se por cá algo deste tipo poderia ter acontecido, ou se os nossos operadores já estão mais avançados em termos de identificação/autenticação dos utilizadores.

2 comentários:

  1. Lembro me que em 2013/14 era possível fazer 2 vias do cartão SIM da VODAFONE e MEO em lojas não oficiais.Era assustadoramente fácil o fazer, bastava o lojista ligar para a linha de loja e dizer nº de telemóvel e o NIF(nada de impressos/assinaturas ou mostrar a identificação). Mas aparentemente o numero de burlas disparou e voltaram ao método de hoje, apenas em lojas oficiais.

    ResponderEliminar
    Respostas
    1. Mas e nas lojas oficiais qual é o procedimento agora? É que há uns 3 anos, sensivelmente, pedi uma segunda via numa loja oficial Vodafone e só me pediram o número e o operador é que me disse o nome da empresa para eu validar(sim, era de uma conta empresarial e nem assim foi melhor validado).

      Eliminar

[pub]