Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

RESPONDER

Barragem do Pisão fica pronta em 2026 (e "demonstra bem o que pretende ser o PRR")

As obras de construção da barragem do Pisão, no concelho de Crato, distrito de Portalegre, cujo contrato de financiamento foi assinado esta sexta-feira, vão arrancar até 2023 para o empreendimento entrar em "pleno funcionamento" em …

Gonçalves Pereira diz que não é recandidato por "opção exclusiva da direção"

O vereador do CDS-PP na Câmara de Lisboa afirmou, esta sexta-feira, que não é recandidato nas próximas autárquicas por opção exclusiva da atual direção do partido, que foi contra os órgãos distritais e concelhios. "Este ano, …

Fraude de quatro milhões com IVA na alimentação. MP acusa 29 arguidos

Uma rede de empresas responsável por simular transações de produtos alimentares isentas de IVA foi desmantelada pelas autoridades e 29 arguidos foram acusados pelo Ministério Público (MP), devido a um esquema que permitiu obter reembolsos …

Nove anos de prisão para primeiro condenado ao abrigo da lei da segurança nacional em Hong Kong

O primeiro residente de Hong Kong condenado no âmbito da nova lei de segurança nacional foi sentenciado a nove anos de prisão, esta sexta-feira, por terrorismo e incitação à secessão. Os três juízes, escolhidos pela chefe …

Novo Banco e Apollo entregam propostas pelo EuroBic

O Novo Banco e o fundo Apollo apresentaram propostas para as posições de Isabel dos Santos e de Fernando Teles no EuroBic, enquanto o fundo J.C. Flowers e o Abanca estão a negociar com os …

Israel vai administrar terceira dose da vacina em maiores de 60 anos

Israel vai avançar com a inoculação de uma terceira dose da vacina contra a covid-19 em pessoas com mais de 60 anos, anunciou, esta quinta-feira, o primeiro-ministro israelita, numa declaração transmitida na televisão. Confrontado nas últimas …

Autoridades chinesas e Talibãs estreitam laços enquanto EUA deixam o Afeganistão

O ministro dos Negócios Estrangeiros chinês, Wang Yi, se reuniu na quarta-feira com líderes dos Talibãs na cidade de Tianjin, no norte da China, um sinal do estreitamento dos laços entre Pequim e o grupo …

Feirantes senegaleses queixam-se de "acesso bloqueado" à feira de Barcelos

Feirantes do Senegal queixaram-se esta quinta-feira de serem proibidos de operar na feira semanal de Barcelos e falaram em discriminação racial, mas a câmara contrapôs que é uma questão de cumprimento do regulamento que impede …

Tribunal de Justiça da UE retira imunidade parlamentar a Puigdemont

O Tribunal de Justiça da União Europeia retirou, esta sexta-feira, a imunidade parlamentar ao ex-presidente do Governo regional da Catalunha, Carles Puigdemont, e aos também eurodeputados catalães Toni Comín e Clara Ponsatí. Na sentença proferida esta …

Ana Gomes doa 31 mil euros que sobraram das Presidenciais para apoiar jornalismo independente

A ex-candidata à Presidência da República informou, esta sexta-feira, que decidiu entregar os donativos que sobraram da campanha à Associação "Continuar para Começar", para promover o jornalismo de investigação independente. Numa carta dirigida aos presidentes da …