Android 18 Mar
Se você utiliza autenticação em duas etapas saiba que pode não estar tão seguro quanto pensa. Principalmente se a segunda etapa for código entregue via SMS. Isso porque hackers podem facilmente interceptar a mensagem enviada, bastando apenas saber o número de telefone. A afirmação foi feita por Jonathan Zdziarski, pesquisador de segurança e especialista forense.
Zdziarski também afirma que o sistema não pode ser considerada "em duas etapas", já que o site apenas envia um código via SMS para o smartphone do usuário. A ideia desse método de segurança é testar a identidade do usuário através de algo que eles sabem (no caso, a senha) e algo que eles possuem (smartphone ou outro dispositivo). Segundo Zdziarski, o SMS não é algo que o usuário tem e sim algo que o enviam, permitindo a interceptação.
Claro que utilizar o autenticador em duas etapas via SMS é melhor do que não ter nenhuma segurança extra, mas existem outras possibilidades. Aplicativos como o Google Authenticator geram um código no aparelho Android ou iOS, que é o mesmo gerado pelo site em questão. Esse código muda a cada 30 segundos, o que garante maior segurança. É a mesma ideia dos cartões de segurança ou tokens entregues a clientes de bancos, onde é preciso digitar a senha e o código gerado.
O caso do ativista DeRay McKesson que teve sua conta no Twitter hackeada é um exemplo de como a autenticação em duas etapas via SMS é falho. Pelo microblog, o ativista informou que os invasores ligaram para a Verizon - sua companhia de celular - e convenceram a empresa a enviar os SMS para outro número de telefone. Apesar desse ser o caso mais recente, também já foram alvo de hackers outros ativistas políticos do Irã e da Rússia, que tiveram suas contas do Telegram invadidas.
O Twitter afirmou, em comunicado, que está procurando formas de deixar o sistema e as contas dos usuários mais seguras, para que casos como esse não voltem a acontecer. A empresa deve implementar no futuro um novo sistema ou permitir que aplicativos de terceiros garantam maior segurança para o usuário, já que a única proteção extra fornecida pela rede social é o autenticador em duas etapas via SMS.
Comentários