Hackers conseguem quebrar autenticação em dois fatores

Por Redação | 13 de Novembro de 2014 às 16h28

Para o designer Grant Blakeman, pedidos não solicitados de reset de senha no Instagram eram algo comum. Ele era dono de uma conta altamente visada no serviço, que possui apenas as iniciais “gb” como login. A simplicidade fez com que ele se acostumasse a receber mensagens do tipo quase que diariamente. Como seu perfil na rede estava ligado ao Gmail e sua conta no Google, ele acreditava que a autenticação em duas etapas o manteria seguro de invasões. Nesta semana, ele descobriu estar errado.

Por meio de engenharia social e brechas de segurança encontradas em sistemas de terceiros, hackers conseguiram quebrar aquela que, até então, era considerada a única maneira totalmente segura de garantir que ninguém, jamais, acessaria sua conta. Agora, isso não é necessariamente verdade, e a culpada aqui é a operadora de telefonia de Blakeman.

No Ello, Blakeman detalhou a maneira pela qual ele acredita ter sido hackeado, apesar de ainda não possuir todos os detalhes – nem acreditar que, um dia, os terá. Seja como for, aparentemente, os criminosos conseguiram ativar um redirecionamento de chamadas em seu celular, enviando mensagens e ligações para outro aparelho que estava de posse deles. Assim, puderam receber o código de acesso à conta do Google e, dessa maneira, tomar controle do Instagram do designer.

A página continua no ar e, até o momento em que este texto foi escrito, nenhuma imagem foi retirada do ar. A conta “gb” permanece como está, mas não é mais de Blakeman, que está aguardando algum posicionamento do Facebook (dono do Instagram) sobre a questão. Sua operadora de telefonia não é citada no texto. Apenas o acesso à conta do Google foi restabelecido, já que seu e-mail e outros serviços ligados a ela não eram de interesse para os hackers.

O que impressiona nessa história toda foi o gigantesco trabalho dos criminosos para obter acesso a uma conta simplesmente devido ao valor de seu username. GB é uma sigla fácil, simples e que em inglês é a abreviação de Grã Bretanha. Ao mesmo tempo, o Instagram não é exatamente um serviço que permite que seus usuários ganhem dinheiro. No momento, o que se acredita é que os criminosos desejam vender o perfil para terceiros - talvez empresas que estejam interessadas em um link fácil e simples. No entanto, a publicação do caso na imprensa acaba invalidando esse fim.

O ocorrido lembra bastante também outra situação relatada em 2012, quando o jornalista da revista americana Wired, Mat Honan, perdeu sua conta no Twitter, que era simplesmente @mat. O método usado é parecido (engenharia social), mas neste caso a responsável foi a Apple, que deu informações confidenciais por telefone para os hackers, permitindo que eles ganhassem acesso ao Gmail do repórter. Parecia válida para os criminosos, mas que perdeu o sentido depois que inúmeras reportagens foram publicadas.

Nem tudo está perdido

Como aponta o site Make Use Of, o caso não significa que a autenticação em duas etapas é uma furada. Pelo contrário, ela ainda é um dos sistemas de proteção mais seguros em vigor. Por outro lado, a questão mostra que ela não é à prova de falhas e que especialistas dedicados podem sim conseguir acesso à sua conta mesmo com tal barreira colocada diante deles.

Tudo depende do quão visado se é. Se você, ao contrário de Blakeman ou Mat, não possui perfis de alto valor em redes sociais, nem é uma celebridade, dificilmente será hackeado desta maneira. Sendo gente como a gente, você provavelmente teria sua conta invadida por ex-namorados paranoicos ou “amigos” stalkers, e a não ser que um deles seja um hacker altamente treinado, você provavelmente está seguro.

Quem quer aumentar a própria segurança também tem opções. Uma delas é o Authy, um sistema que simplifica a autenticação em dois fatores concentrando tudo isso em um número de celular, realizando uma verificação adicional e evitando invasões. Além disso, vale a pena dar uma olhada também no 1Password, um agregador que gera senhas aleatórias para todos os seus serviços, ao mesmo tempo em que as mantém seguras em seu smartphone ou tablet, sem que ninguém mais as possa acessar.

O site indica também que se evite a utilização de contas de e-mail dedicadas apenas ao acesso a serviços. Caso elas sejam comprometidas, os hackers terão acesso a todas as suas contas em redes sociais. Crie um e-mail separado, com um login que ninguém poderia adivinhar, apenas para verificação e não o utilize para mais nada, mantendo-o em segredo. Assim, será mais difícil acessar os pedidos de troca de senha.

E, acima de tudo, use o bom senso. Modifique suas senhas periodicamente e desconfie de alterações ou tentativas de acesso não-autorizadas. Caso perceba qualquer irregularidade, altere o código imediatamente e ative todas as medidas de segurança que puder. Sempre é melhor prevenir do que remediar.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.