2015/03/09

Hacker limpa 3000 em Bitcoins da conta de utilizador


Tal como a maioria das pessoas só se preocupa com backups quando algum azar os faz perder dados importantes, também a segurança da sua vida digital só passa a ser levada a sério quando se vêem na infeliz situação de terem que enfrentar um hacker que se tenha apoderado das suas contas. E como este novo caso revela, nem mesmo sistemas como a autenticação 2-factor são garantia de segurança.


Já temos relatado alguns casos de autênticos pesadelos digitais, e este que hoje vos trago torna-se mais grave por se tratar de um caso onde o utilizador até tinha a preocupação de utilizar sistemas de autenticação 2-factor para se proteger contra atacantes. Mas isso não impediu Partap Davis de ver um hacker apoderar-se de praticamente todas as suas contas, e lhe limpar cerca de 3000 dólares em Bitcoins.

Já sabemos que hoje em dia o ponto "crítico" é obter o acesso à conta de email da vítima, pois a partir daí passa a ser possível fazer o reset à password nos serviços a ela associados e ter acesso a tudo. Por isso mesmo Davis usava a autenticação 2-step que pede um código adicional enviado para o seu smarpthone. Mas então, como foi possível a um hacker ultrapassar essa protecção 2-step?


Como sempre, o sistema mais seguro do mundo é apenas tão seguro quanto o seu elo mais fraco; e neste caso Partip Davis usava um endereço do serviço mail.com como forma de ter um email mais fácil de decorar (pois no Gmail o nome pretendido já estava ocupado) e que apenas redireccionava os emails para o seu endereço no Gmail. O problema é que o serviço mail.com tinha uma vulnerabilidade que permitia a um atacante fazer reset à password de qualquer utilizador - e foi essa a porta de entrada pelo qual tudo o resto se tornou possível.

Com acesso à sua conta de email, o atacante apontou armas ao operador de telecomunicações, conseguindo acesso à conta (via reset da password) e depois usando engenharia social para que as suas chamadas fossem redireccionadas para um novo número (um número "descartável"). Embora este reencaminhamento apenas fosse feito para as chamadas de voz e não para os SMS que continham os desejados códigos para entrar na conta do Gmail, o atacante aproveitou-se do facto do sistema permitir a "acessibilidade" para utilizadores invisuais, que lhes dá a opção de receberem uma chamada de voz onde o código é ditado em voz alta.

E com acesso ao Gmail, seguiu-se tudo o resto, Authy (programa de autenticação para acesso às contas de Bitcoin), Coinbase (de onde lhe foram retirados 3000 dólares em Bitcoin), Twitter, etc. Os únicos que resistiram foram outras carteiras de Bitcoin (Coinbase e BTC-e) que continham protecções adicionais. No caso do BTC-e a conta fica automaticamente bloqueada durante 48h após um pedido reset da password; e na Coinbase o serviço pediu a validação da identidade através do envio de uma foto da carta de condução. Protecções que evitaram que o atacante se apoderasse de mais 2500 dólares que estavam nestas contas.


Serve o caso para alertar que nem sempre os sistemas que se pensam ser seguros são efectivamente seguros, e que por vezes não será melhor estar disposto a aturar algumas "paranóias" adicionais no que diz respeito à segurança... do que estar sujeito a acordar um dia e descobrir que toda a nossa vida digital deixou de estar sob o nosso controlo.

2 comentários:

  1. Explica lá como é que com o acesso ao e-mail do mail.com ele conseguiu a password da conta de Gmail? A não ser que tivesse um e-mail do mail.com como e-mail de recuperação da conta do Gmail.

    ResponderEliminar
    Respostas
    1. É só dares um salto ao reset da password do Google e já vês:

      Google->Reset password-> introduzir email-> dizer que não te lembras da pass-> dares o número de telefone associado à conta-> pedires o código lido em vez de via SMS.

      Eliminar