Não há limites para a imaginação e técnicas utilizadas por atacantes para se apoderarem das contas das vítimas, incluindo fazer o pré-registo das mesmas. Serviços como o Instagram, LinkedIn, Zoom, WordPress, e Dropbox eram vulneráveis a este tipo de ataques via pré-registo das contas.
Este ataque é feito com o atacante a iniciar o registo num serviço usando o email da vítima, e depois explorando diversas vulnerabilidades que lhe podem dar acesso à conta quando a vítima efectivamente fizer / concluir o registo. O processo ficará "encravado", já que o atacante não tem acesso ao email da vítima para confirmar o endereço de email (embora, inacreditavelmente, ainda existam serviços que não fazem a confirmação do endereço de email!), mas existem diversas técnicas que podem ser usadas e que podem permitir que a pessoa que iniciou o registo - o atacante - possa ter acesso à conta depois da vítima concluir o registo.
Muitas destas falhas surgem pelo desejo dos sites facilitarem o processo de registo e de login nos seus serviços, para cativarem o maior número possível de utilizadores; mas não há desculpa para que esse facilitismo chegue ao ponto de facilitar a vida aos atacantes à custa dos utilizadores legítimos.
É também preocupante ver que estas vulnerabilidades afectavam sites bastante populares, o que garantidamente significa que haverá muitos outros sites, menos populares, que também deverão sofrer de falhas idênticas. Ter cuidado redobrado se receberem emails a pedir a confirmação de registos em serviços que não tenham sido iniciadas pelo próprio; e optar por métodos de autenticação multi-factor sempre que possível, e também forçar o encerramento de todas as sessões activas, se o serviço der essa opção.
Sem comentários:
Enviar um comentário (problemas a comentar?)