Autenticação de dois passos quebrada
Desenvolveram a autenticação de dois passos e quebraram mais este recurso de segurança, veja os detalhes de como é possível burlar a autenticação de dois passos.
[ad#texto]
Já falamos aqui sobre a autenticação de dois passos, que prometia ser uma luz no fim do túnel da falta de segurança computacional, porém alguém apareceu e cortou esta luz e o pior, cortaram a luz definitivamente e de maneira relativamente fácil. Até agora o que se sabe é que um (ou um grupo) de hackers conseguiram burlar a segurança da autenticação de dois passos e acessaram a conta do Instagram (e possivelmente do Gmail) de um desenvolvedor dos EUA.
O processo é um pouco trabalhoso, mas é tecnicamente pouco complexo, tudo começa nas operadoras de telefonia, pois a autenticação de dois passos tem como segundo passo de autenticação o envio de um código de SMS, de posso de dados simples do usuário, como por exemplo, nome completo e CPF o hacker consegue redirecionar os SMS recebidos da linha da vítima para outra linha de propriedade do próprio hacker.
Feito isso, a senha do Gmail foi redefinida e novos códigos de autenticação foram enviados por SMS e foi interceptado pelo hacker, com a conta do Gmail em mãos redefinir e comprometer a conta do Instagram foi fácil.
Embora a autenticação de dois passos ser o método mais seguro de autenticar uma conta de um serviço Web é fato que o fator humano é um peso que ainda compromete muito a segurança como um todo, digo isso, pois o início da falha de segurança se baseia no pressuposto que com uma simples engenharia social o hacker conseguir redirecionar a linha de celular da vítima e com isso disparou todo o processo de invasão até alcançar a conta do Instagram.
De fato o elo mais fraco da corrente da segurança computacional continua sendo usuários, onde em diversos casos tem o treinamento adequado negligenciado em prol da redução de custos e com isso casos como este ocorrem com certa frequência e que no fim sempre resultam em custos altos para as empresas que sofrem os ataques e quebras de segurança.