Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

RESPONDER

Governo não pondera (para já) proibição de fumar ao ar livre

O Governo não está a ponderar, neste momento, proibir fumar ao ar livre como foi decretado em Espanha, mas há “muitos aspetos em aberto” que serão acompanhados, disse esta sexta-feira a ministra da Saúde, Marta …

Lotação do Avante reduzida a um terço. Visitantes terão uma "área superior à que está estabelecida para as praias"

O PCP anunciou que vai limitar a entrada na sua anual Festa do "Avante!" a um terço da capacidade total, em virtude do contexto de pandemia de covid-19. O espaço de 30 hectares das Quinta da …

Governo da Guiné Equatorial demitiu-se em bloco

O Governo da Guiné Equatorial, liderado pelo primeiro-ministro Francisco Pascual Obama Asue, apresentou a sua demissão em bloco. Em declarações aos jornalistas, o ministro da Comunicação e porta-voz do Governo em funções, Eugenio Nze Obiang, explicou …

PSP apresenta queixa contra jornal Público por causa de cartoon no "Inimigo Público"

A PSP anunciou esta sexta-feira que vai apresentar queixa contra o jornal Público pela publicação, no suplemento Inimigo Público, de um cartoon com uma figura vestida de uniforme, “aparentemente relacionado com uma ação com conotação …

Tensão no Mediterrâneo. Macron envia ajuda militar à Grécia em conflito com a Turquia

O presidente Emmanuel Macron anunciou, quarta-feira, o envio de forças francesas para o Mediterrâneo Oriental. A intenção turca de procurar petróleo e gás no fundo do mar, tem criado tensão política entre a Grécia e …

"O material escolar mais importante". Escolas já receberam verba para comprar máscaras

As escolas já receberam as verbas para comprar as máscaras que irão distribuir gratuitamente pelos alunos e funcionários e alguns estabelecimentos de ensino estão a planear ter equipamentos extra Dentro de um mês, em meados de …

Lar em Sintra com 43 utentes e 12 funcionários infetados com covid-19

Quarenta e três utentes e 12 funcionários do lar da Associação de Solidariedade e Apoio Social do Pessoal da TAP, em Sintra, testaram positivo à covid-19, disse esta sexta-feira à agência Lusa fonte da câmara …

Para ter um "cabelo perfeito", Trump vai mudar a lei da pressão de água nos chuveiros

O Governo norte-americano quer flexibilizar as regras para acessórios de chuveiros que permitem uma maior conservação da água depois de o presidente dos Estados Unidos, Donald Trump, se ter queixado da falta de pressão de …

Transferência de Diogo Leite para o Valencia pode cair por terra

A imprensa espanhola avança esta sexta-feira que a transferência do defesa central do FC Porto Diogo Leite para o Valência está em risco. Apesar de as negociações entre as partes estarem em curso já há algumas …

Catarina Martins sai em defesa da Festa do Avante (e atira-se a Rui Rio)

A coordenadora do Bloco de Esquerda, Catarina Martins, sublinhou esta sexta-feira que os direitos políticos não estão limitados, após questionada sobre a realização da festa comunista do Avante!, e afirmou acreditar que os responsáveis estão …