Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

RESPONDER

Cientistas identificam fóssil do inseto mais antigo do mundo

Um fóssil de um milípede descoberto em 1899 é o inseto mais antigo do mundo, concluiu um novo estudo. O espécime em causa tem 425 milhões de anos. Uma equipa de investigadores da Universidade do Texas …

Jorge Jesus renova com o Flamengo por mais uma época

O treinador português anunciou, esta quarta-feira, que vai ficar mais uma época nos brasileiros do Flamengo, até junho de 2021. "Digam à nação que fico!". É esta a frase que acompanha a fotografia publicada, esta quarta-feira, …

Governo deixa cair lay-off simplificado. Novo apoio vai variar em função da quebra de faturação

O apoio às empresas em lay-off que retomarem a atividade será diferenciado em função da quebra de faturação, com vista a direcionar as ajudas públicas “a quem mais precisa”, afirmou esta terça-feira a ministra do …

Grupo de precários da Casa da Música dispensado de serviço via e-mail "meia hora depois" de uma vigília de protesto

Cerca de 13 trabalhadores "precários" da Casa da Música, no Porto, foram dispensados dos concertos que tinham alocados para o mês de junho. Em declarações à Lusa, Hugo Veludo, um dos 13 assistentes de sala …

Sete detidos em operação na Quinta da Fonte ficam em prisão preventiva

Os sete homens que foram detidos numa operação policial no bairro da Quinta da Fonte, em Loures, na segunda-feira, ficaram em prisão preventiva, a medida de coação mais gravosa, revelou à agência Lusa a Polícia …

O parasita da malária tem o seu próprio relógio interno

Um novo estudo acaba de revelar que, mesmo quando cultivados fora do corpo, os parasitas da malária conseguem manter o seu ritmo. Quando uma pessoa contrai malária, acontece uma dança rítmica dentro do corpo. Os sinais …

Maduro e Guaidó juntam-se na luta contra a pandemia. EUA acusam país de impedir voos humanitários

O governo do Presidente venezuelano e o líder da oposição Juan Guaidó acordaram procurar conjuntamente fundos para combater a pandemia da covid-19 na Venezuela, de acordo com um documento divulgado esta terça-feira na televisão oficial. No …

Marítimo "aplaude" Costa no espectáculo de Bruno Nogueira e pede adeptos nos Estádios

Com recurso a fotografias de António Costa no Campo Pequeno, a assistir ao espectáculo "Deixem o pimba em paz" de Bruno Nogueira, o Marítimo "aplaude" o gesto do primeiro-ministro e apela a que o futebol …

Sexta extinção em massa cada vez mais próxima. Mais de 500 vertebrados estão em risco

Uma sexta extinção em massa está cada vez mais perto, alertam os cientistas. Mais de 500 espécies de vertebrados estão sob ameaça de extinção devido aos seres humanos. Em 2015, o biólogo da Universidade de Stanford …

O Oumuamua pode ser um icebergue de hidrogénio (e um dos objetos mais raros do Universo)

Uma equipa de astrónomos da Universidade de Yale e da Universidade de Chicago propôs uma nova descrição para o Oumuamua, o primeiro objeto interestelar a passar pelo nosso Sistema Solar. De acordo com a nova teoria …