Autenticação de dois passos quebrada

Desenvolveram a autenticação de dois passos e quebraram mais este recurso de segurança, veja os detalhes de como é possível burlar a autenticação de dois passos.

[ad#texto]

Já falamos aqui sobre a autenticação de dois passos, que prometia ser uma luz no fim do túnel da falta de segurança computacional, porém alguém apareceu e cortou esta luz e o pior, cortaram a luz definitivamente e de maneira relativamente fácil. Até agora o que se sabe é que um (ou um grupo) de hackers conseguiram burlar a segurança da autenticação de dois passos e acessaram a conta do Instagram (e possivelmente do Gmail) de um desenvolvedor dos EUA.

Autenticação de dois passos quebrada
Autenticação de dois passos quebrada

O processo é um pouco trabalhoso, mas é tecnicamente pouco complexo, tudo começa nas operadoras de telefonia, pois a autenticação de dois passos tem como segundo passo de autenticação o envio de um código de SMS, de posso de dados simples do usuário, como por exemplo, nome completo e CPF o hacker consegue redirecionar os SMS recebidos da linha da vítima para outra linha de propriedade do próprio hacker.

Feito isso, a senha do Gmail foi redefinida e novos códigos de autenticação foram enviados por SMS e foi interceptado pelo hacker, com a conta do Gmail em mãos redefinir e comprometer a conta do Instagram foi fácil.

Embora a autenticação de dois passos ser o método mais seguro de autenticar uma conta de um serviço Web é fato que o fator humano é um peso que ainda compromete muito a segurança como um todo, digo isso, pois o início da falha de segurança se baseia no pressuposto que com uma simples engenharia social o hacker conseguir redirecionar a linha de celular da vítima e com isso disparou todo o processo de invasão até alcançar a conta do Instagram.

De fato o elo mais fraco da corrente da segurança computacional continua sendo usuários, onde em diversos casos tem o treinamento adequado negligenciado em prol da redução de custos e com isso casos como este ocorrem com certa frequência e que no fim sempre resultam em custos altos para as empresas que sofrem os ataques e quebras de segurança.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.