/

Boas passwords já não chegam para ter segurança no PayPal

4

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

4 Comments

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

Deixe o seu comentário

Your email address will not be published.