Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

Responder a Dan Cancelar resposta

Despedida de Centeno e estreia de Leão. Eurogrupo elege presidente na quinta-feira

A eleição para a presidência do Eurogrupo, na quinta-feira, será a última reunião presidida por Mário Centeno e a estreia europeia de João Leão como ministro das Finanças. A eleição para a presidência do Eurogrupo é …

Governo está a preparar um programa específico de apoio ao Algarve

O Algarve terá um programa específico de apoio, que já está a ser preparado pelo Governo, avançou o ministro da Economia esta terça-feira. O ministro da Economia disse, esta terça-feira, que o Governo está a preparar …

OMS admite transmissão pelo ar e pede que se evitem espaços fechados

Depois do alerta de 239 especialistas, a Organização Mundial de Saúde diz que há novas provas de que o novo coronavírus se transmite pelo ar. A Organização Mundial de Saúde (OMS) admitiu, esta terça-feira, haver novas …

Lufthansa vai cortar mil empregos administrativos (e reduzir novas aeronaves a metade)

Esta terça-feira, a Lufthansa anunciou novas medidas do seu plano de reestruturação que incluem uma redução de mil postos de trabalho nos serviços administrativos. A companhia aérea alemã Lufthansa anunciou, esta terça-feira, que irá reduzir o …

Bloco deixa recado ao PS: voto do Suplementar não estará garantido para o OE2021

Depois de o PCP ter rompido o espírito de acordos à esquerda, foi a vez de o Bloco de Esquerda deixar avisos para 2021. Em entrevista ao portal esquerda.net, divulgada esta terça-feira, Mariana Mortágua deixa claro …

Ferrari vai enfrentar problemas no Mundial de F1 "sem chorar"

O diretor-geral da Ferrari elogiu o talento de Leclerc e mostrou-se preocupado com os problemas que afetaram Sebastian Vettel. O diretor-geral da Ferrari, Louis Camilleri, reiterou esta terça-feira a confiança na equipa e assegurou que a …

Governo russo exige 1,8 mil milhões de euros a empresa mineira por poluição no Ártico

A agência russa de defesa do ambiente exigiu uma indemnização de 147,8 mil milhões de rublos (1,8 mil milhões de euros) ao conglomerado mineiro Norilsk Nickel, pela grave poluição do Ártico com hidrocarbonetos. Em comunicado, a …

Perda de habitat pode aumentar doenças que passam de animais para humanos, prevê ONU

Um novo relatório da Organização das Nações Unidas (ONU) alertou que podem surgir mais doenças que passam de animais para humanos, como a covid-19, à medida que os habitats são devastados pela exploração da vida …

Rússia ameaça retaliar face às sanções "hostis" do Reino Unido

A Rússia ameaçou responder às sanções "hostis" anunciadas por Londres contra 59 pessoas e entidades, 25 delas russas. A Rússia vai responder às sanções "hostis" anunciadas pelo Governo britânico contra 49 pessoas e organizações, 25 das …

Ministério dispensa quase todos os alunos da renovação de matrículas (após ataques informáticos e o desespero dos pais)

As matrículas online são agora obrigatórias apenas para os alunos que no próximo ano lectivo vão iniciar os 5.º, 7.º e 10.º anos de escolaridade. O anúncio é feito pelo Ministério da Educação depois das …