Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

Responder a jose Cancelar resposta

A Grande Mancha Vermelha de Júpiter tem uma nova companhia

Um astrónomo amador na África do Sul detetou uma nova mancha no hemisfério sul do maior planeta do Sistema Solar. A mancha, apelidada de "Mancha de Clyde", aparece entre a icónica Grande Mancha Vermelha de …

Nova aplicação deteta insuficiência cardíaca através da voz

Foi desenvolvida uma nova aplicação para smartphones que prevê a insuficiência cardíaca através da voz. A tecnologia baseia-se num dos sintomas mais comuns: a falta de ar. O sintoma mais comum da insuficiência cardíaca é a …

Atividade física ajuda a prevenir a perda de visão

Uma nova investigação sugere que o exercício físico pode ser um componente-chave na prevenção da perda de visão. Os benefícios da atividade física são cada vez mais conhecidos, mas há alguns que devem ser tidos em …

Dubai vai construir uma cidade marciana no deserto

O Dubai tem em mãos um projeto ambicioso: a construção de uma cidade marciana. O projeto foi apresentado por uma empresa sediada em Copenhaga e Nova Iorque e é uma parte do plano dos Emirados …

Coreia do Norte voltou a rejeitar negociações com os Estados Unidos

A Coreia do Norte disse, esta terça-feira, que não tenciona retomar o diálogo com os Estados Unidos, quando o vice-secretário de Estado norte-americano, Stephen Biegun, chegou à Coreia do Sul para discutir diplomacia nuclear. Num comunicado …

Construiu uma cadeira de rodas com bicicletas elétricas para a namorada. Agora, vai produzi-la em massa

Para Zack Nelson, construir esta  peça inovadora de engenharia foi "super divertido e surpreendentemente simples". Há cerca de um ano, Zack Nelson, o youtuber de tecnologia do canal JerryRigEverything, uniu duas bicicletas elétricas para criar uma …

A reeleição de Trump nunca esteve tão ameaçada. A culpa é do pessimismo dos americanos

A gestão do Presidente norte-americano face à pandemia e a perspetiva de uma crise económica ameaçam a reeleição de Donald Trump. Um estudo de opinião da Fundação Peter G Peterson para o The Financial Times indica …

Ministros da Indonésia promovem colar de eucalipto como cura para a covid-19

O ministro da Agricultura da Indonésia foi muito criticado por especialistas por alegar que um colar feito de eucalipto pode ajudar a impedir a transmissão da covid-19. Segundo o The Guardian, o ministro da Agricultura da …

SATA pede auxílio ao Estado no valor de 163 milhões de euros

A SATA, companhia aérea detida a 100% pela Região Autónoma dos Açores, precisa do valor até ao final do ano para pagar dívidas. A SATA pediu um auxílio ao Estado de 163 milhões de euros para …

Cortiça portuguesa usada em foguetões da Space X

A Corticeira Amorim forneceu a Space X, de Elon Musk, para componentes usados nos foguetões espaciais da empresa, adiantou o presidente da empresa, António Rios Amorim. "É o nosso maior cliente [deste segmento] neste momento desde …