2014/02/04

Ataque a nick @jb no Twitter quase comprometia todos os dados do Droplr


Ainda no outro dia vimos um caso de hacking e chantagem para obter o nick @n no Twitter, mas como se poderá imaginar, este tipo de ataques e tentativas são algo bastante comum que afecta todos os que têm contas com nomes registados que possam ser considerados "desejáveis". O caso que se segue não é um nick de uma única letra, mas sim de uma combinação de duas que vale ainda mais dinheiro do que os $50 mil dólares que ofereceram ao @n.

Josh Bryant poderia ser uma pessoa comum, não fosse o facto de já ser bastante conhecido no panorama digital, como co-fundador e CEO do Droplr e vários outros serviços. Mas, mais importante para algumas pessoas, será a particularidade de no Twitter ter o nick de @jb - um nick que seria altamente atractivo para diversas marcas e pessoas famosas (uma das quais o mediático Justin Bieber). Aliás, supostamente já lhe terão oferecido meio-milhão de dólares pelo nick - e antes de dizerem que é louco por não o ter vendido, importa referir que a venda de nicks é proibida pelo Twitter, e que o caso poderia simplesmente ter sido denunciado pelos supostos compradores fazendo com que o Twitter suspendesse a sua conta.

Desta vez a vertente de ataque foi a Amazon, que com um pouco de engenharia social e dando dados sobre ele que estavam publicamente disponíveis na Internet, permitiu ao atacante fazer o reset da password e ganhar acesso à sua conta. Felizmente neste caso, ele apanhou as mensagens de email do que se estava a passar quase em directo, e conseguiu adiantar-se ao hacker, modificando novamente a sua password da Amazon e pedindo aos serviços para que nunca alterassem as suas definições unicamente por via telefónica.

O caso poderia ter sido bem mais grave, pois em vez do simples nick no Twitter que era o que o hacker/atacante pretendia, o "quase" acesso à conta da Amazon de Josh Bryant teria sido potencialmente ruinoso não só a nível pessoal como profissional. É que a Amazon incentiva os utilizadores a terem uma única conta para todos os seus serviços Amazon, e isso faz com que todos os serviços do Droplr, que utilizam o EC2 e S3 na cloud da Amazon pudessem ter ficado nas mãos do atacante!

Ou seja... informação e dados de muitos milhares (ou milhões) de utilizadores poderiam ter simplesmente desaparecido ou cair em mãos indevidas, devido à simpatia de um assistente da Amazon com vontade em facilitar a vida a um suposto cliente que se tinha "esquecido" da password.

... Não há dúvida, quanto mais complexos e seguros forem ficando os sistemas automáticos, mais os atacantes se voltarão para a vertente social, como como se tem visto... acaba por ser o elo mais fraco em diversas situações. Como se já não bastasse termos que desconfiar da tecnologia usada para manter os nossos dados e contas em seguranças, vamos passar a ter que nos preocupar também com a formação e capacidades que são dadas aos operadores telefónicos? Estamos tramados...

Sem comentários:

Enviar um comentário (problemas a comentar?)