Conta do CEO do Twitter é invadida usando procedimento simples

Jack Dorsey (Divulgação)
Compartilhe com seus seguidores

Os criminosos convenceram atendentes da AT&T, operadora usada por Jack Dorsey, a atribuir a linha do CEO a um SIM Card controlado por eles.

Na última sexta-feira (30), Jack Dorsey, CEO do Twitter, teve sua conta na rede social invadida por um grupo de hackers. Os cibercriminosos conseguiram acesso à conta se aproveitando de uma vulnerabilidade no sistema de autenticação por telefone. O acesso indevido foi usado para espalhar mensagens ofensivas usando a conta do CEO.


Os hackers, identificados como o grupo Chuckling Squad, espalharam a mensagem usando o serviço Cloudhopper ? comprado pelo Twitter em 2010 - que permite que tuítes sejam postados apenas enviando mensagens de texto para um número específico. Esta é uma forma simples de permitir que quem não tem acesso ao aplicativo do Twitter possa postar na rede social.

Para realizar a invasão, os hackers usaram uma técnica conhecida como "SIM Swap". Essencialmente, eles convenceram a operadora a atribuir o número de Dorsey a um novo telefone que eles controlavam. Essa não é uma técnica nova, embora seja usada com frequência para roubar Bitcoins.

Os usuários podem se proteger adicionando um código PIN à sua conta da operadora ou registrando contas online, como o Twitter, usando número fictícios, mas essas técnicas podem exigir muito do usuário comum. Com isso, a troca de SIM se tornou uma das técnicas favoritas dos criminosos para criar problemas online.

Falhas nos processos de segurança

O Twitter atribui o erro à operadora AT&T, usada por Dorsey. Segundo o que foi apurado, os criminosos entraram em contato com o suporte da operadora e solicitaram que o número de Dorsey fosse portado para outro SIM. A operadora atendeu à solicitação, dando acesso total do número do CEO para os criminosos.

Obviamente, a falta de um procedimento de segurança do Cloudhopper facilitou o ataque dos hackers à conta de Dorsey. Mas a falta de verificações de segurança no sistema da AT&T também é responsável pelo incidente. Felizmente, segundo o Twitter, a conta foi recuperada 18 minutos após sua invasão.

Esse hack mostra a vulnerabilidade das operadoras de telefonia e a necessidade da adoção de um método de autenticação de dois fatores, que vai além do uso de apenas mensagens de texto (SMS) para receber um código de confirmação de identidade.

Via: The Verge/ Forbes

 

 

 

Segurança Twitter rede social vulnerabilidade falha de segurança Jack Dorsey CEO
Curtiu esse conteúdo? Assine nossas newsletters e fique por dentro do que acontece em primeira mão!
Compartilhe com seus seguidores
Assine nossa newsletter!
Parabéns! Sua assinatura foi recebida com sucesso!
Atenção: Em instantes você receberá um email de confirmação da assinatura. Para efetivá-la, clique no link de confirmação que você receberá. Verifique também sua caixa de SPAM, pois por se tratar de um email automático, seu servidor de emails poderá identificar incorretamente a mensagem como não solicitada.