LOADING...
Faça login e
comente
Usuário ou Email
Senha
Esqueceu sua senha?
Ou
Registrar e
publicar
Você está quase pronto! Agora definir o seu nome de usuário e senha.
Usuário
Email
Senha
Senha
» Anuncie » Envie uma dica Ei, você é um redator, programador ou web designer? Estamos contratando!

Falha de segurança expõe códigos 2FA usados em contas do Google, TikTok e WhatsApp

21 de março de 2024 2

Por mais seguro que seja, nem mesmo a verificação em duas etapas (2FA) está livre das falhas de segurança digital. Segundo um novo relatório da ESET, um problema no banco de dados da empresa YX International acabou expondo “milhões” de códigos usados para se fazer login em contas de empresas como Google, WhatsApp e TikTok.

A verificação em duas etapas – ou “2FA” – é uma medida extra de segurança para garantir que apenas o dono de uma conta possa acessá-la. Em termos bem resumidos, ela consiste do uso de um código extra de vida curta, a ser inserido depois que você digita o seu nome de usuário e senha em alguma plataforma fechada. Hoje, o método é mais visto em apps como o Google Authenticator, Microsoft Authenticator ou o Authy, para citar alguns, mas é também uma prática comum usar códigos enviados por mensagens de texto (SMS).

De acordo com a ESET, que cita o perfil da pesquisadora de segurança Anurag Sen no X (antigo Twitter), o problema foi na parte do SMS: a YX International é responsável pelo roteamento e direcionamento de milhões de mensagens de texto por dia, mas uma falha em seu banco de dados permitiu a hackers o acesso a vários links de redefinição de senha para redes sociais, além de comprometer e-mails e credenciais de acesso interno da própria empresa.

Meus perfis foram comprometidos?

A ESET ressaltou, em seu relatório, que os usuários podem ficar tranquilos em relação a alguém ter invadido seus perfis. Isso porque códigos de 2FA – seja por app ou por SMS – têm uma vida útil muito curta e, a não ser que um hacker consiga usá-lo no perfil certo, na rede certa, no momento certo, não há como ele acessar uma conta com essa informação.

Jake Moore, especialista da empresa de segurança, explica que o risco, no entanto, é outro:

"As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.

As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas."

Em outras palavras: ao valerem-se da tecnologia ultrapassada do SMS, cibercriminosos podem usar brechas similares para monitorar atividades de usuários e determinar um curso de ação nocivo a eles – e isso não necessariamente está limitado à invasão de um perfil, mas também pode resultar na obtenção de outras informações e padrões de comportamento.

Em situações assim, a ESET tem uma série de recomendações, como alterar suas senhas mesmo que você não tenha sido afetado diretamente, confirmar que uma notificação de vazamento de dados é legítima (a fim de se evitar golpes de phishing) e revisar atividades recentes em apps essenciais – não só redes sociais, mas também aplicações bancárias, por exemplo. E neste último, em caso de suspeita de fraude, entrar em contato com o banco por um canal oficial para confirmar se houve algum problema com a sua conta.

No mais, a YX International confirmou a correção da falha após ter sido notificada pelos pesquisadores.


2

Comentários

Falha de segurança expõe códigos 2FA usados em contas do Google, TikTok e WhatsApp
Especiais

Nada de Black Fraude! Ferramenta do TudoCelular desvenda ofertas falsas

Software

Microsoft destaca novos recursos na build 26100.1876 do Windows 11 24H2

Tech

PS5: Sony começará a vender consoles equipados com peças de reposição

Economia e mercado

Huawei Kirin 9010L: chipset inédito é encontrado em smartphone intermediário da chinesa