Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

RESPONDER

Dez rinocerontes brancos assassinados por caçadores furtivos em reserva queniana

Dez rinocerontes brancos foram assassinados por caçadores furtivos na reserva queniana de Lewa, no condado de Neru, segundo um comunicado publicado na segunda-feira pelo parque. Os caçadores furtivos atacaram na noite do passado sábado a reserva …

Inscrições nas pinturas rupestres de Foz Côa custam 125 mil euros a ciclistas

O Ministério Público (MP) deduziu acusação contra dois indivíduos que fizeram várias inscrições numa rocha do Parque Arqueológico do Vale do Côa classificado como Património Mundial pela UNESCO. O caso aconteceu durante um passeio de BTT …

Governo lança em 2020 campanha de sensibilização para o consumo de "informação séria"

O Governo anunciou na segunda-feira o lançamento, no início de 2020, de uma campanha de sensibilização que visa a convivência democrática entre uma "comunicação social livre e uma população formada e capaz de exigir e …

Novo Star Wars pode causar ataques epilépticos

A Walt Disney Studios e Epilepsy Foundation publicaram na sexta-feira passada um aviso a dar conta de que Star Wars: Rise of Skywalker contém "várias sequências de imagens com luzes intermitentes que podem afetar quem …

Arqueólogos ativaram (acidentalmente) as "bombas de mau cheiro" mais antigas do mundo

Arqueólogos do Reino Unido lançaram acidentalmente as "bombas de cheiro mais antigas do mundo" quando descobriram ovos de galinha com cerca de 1.700 anos. Durante o longo trabalho de escavação na cidade de Aylesbury, no condado …

Timor atribui nacionalidade a Max Stahl. Jornalista é reconhecido por luta pela libertação do país

O Parlamento Nacional timorense deliberou esta terça-feira, por unanimidade, atribuir a nacionalidade ao jornalista britânico Max Stahl, que filmou o massacre de Santa Cruz, em reconhecimento pelo seu papel na luta pela libertação de Timor-Leste. "É …

Benfica 3 - 0 Zenit | “Pizzão” aos russos vale Liga Europa

O Benfica garantiu o apuramento para a Liga Europa. A formação “encarnada” precisava de um enquadramento especial de resultados e tal acabou por acontecer. O Lyon empatou em casa com o Leipzig, enquanto a formação portuguesa …

Aldeia francesa proíbe habitantes de "morrer em suas casas aos sábados, domingos e feriados"

A presidente da junta de La Gresle, Isabelle Dugelet, assinou um decreto improvável que impede que os habitantes da aldeia francesa de morrer em casa aos fins de semana e feriados. "É proibido que os habitantes …

Lisboa-Porto por cinco euros. CP oferece 80% de desconto no Natal

A CP - Comboios de Portugal está a oferecer descontos de 80% em mais de 4.500 viagens de comboio até 15 de janeiro. Quem viajar de comboio no período de Natal e Ano Novo terá …

Transformer da vida real. Aquanaut é o robô que se transforma em submarino debaixo de água

https://vimeo.com/378556715 Um transformer da vida real: o novo robô autónomo Aquanaut consegue mudar de fisionomia num abrir e fechar de olhos. Num momento assume uma forma humanóide, semelhante a uma sereia, e no outro uma forma …