Boas passwords já não chegam para ter segurança no PayPal

Natodd / Flickr

A segurança da password de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

A segurança de uma conta está dependente do nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente

Perder uma conta de um serviço online é mau, mas a coisa torna-se bem mais grave quando envolve dinheiro.

Infelizmente o PayPal parece não estar muito preocupado com isso, facilitando a vida a quem queira roubar a conta de um qualquer utilizador, sendo necessário conhecer apenas alguns dados básicos sobre ele.

Um sistema é apenas tão seguro quanto o seu elo mais fraco, e nos casos em que a sua segurança electrónica é difícil de ultrapassar, nada como recorrer à engenharia social para esse fim – como aconteceu mais uma vez, desta vez com a conta do PayPal de Brian Krebs, especialista em segurança digital.

Na véspera de Natal, Brian recebeu um email de aviso do PayPal, de que um novo email tinha sido adicionado à sua conta. É daqueles emails que ninguém gostaria de receber, e rapidamente fez login na sua conta de PayPal para remover esse email, repor o seu email principal e fazer reset à password.

De seguida contactou o PayPal para saber como é que o atacante teria conseguido entrar na sua conta, sendo informado de que ele simplesmente teria usado o username e password correctos; mas que colocariam a conta sob monitorização para detectar actividade suspeita.

Vinte minutos mais tarde, a situação repetia-se: novo email de alerta de que uma nova conta de email tinha sido adicionada à sua conta (o mesmo email que anteriormente tinha sido adicionado); só que desta vez o atacante já tinha alterado a password e o seu email original foi removido, impedindo o processo de recuperação de password.

A conta foi bloqueada pouco tempo depois, devido a uma tentativa do atacante de transferir dinheiro para a conta de um utilizador que tinha ligações ao Estado Islâmico – e que se suspeita ter sido apenas uma medida que tentaria implicar o detentor da conta em aspectos relacionadas com terrorismo.

Krebs voltou a contactar o PayPal, mas desta vez exigindo falar com um supervisor, que lhe veio a confirmar que realmente o acesso ao atacante tinha sido dado pelo serviço de apoio ao cliente do PayPal.

Para um serviço tão crítico e que envolve dinheiro, conseguir o acesso a uma conta é algo que pode ser feito com os últimos quatro dígitos do número de segurança social, e os últimos quatro dígitos de um cartão de crédito antigo.

Com falhas deste tipo, de pouco serve tudo o que se possa fazer para melhor a segurança online, como a utilização de sistemas 2-factor.

Por muito seguro que sejam estes sistemas, ou por mais segura que seja uma password, um atacante conseguirá contornar tudo isso ligando para o apoio ao cliente com meia dúzia de dados que poderá encontrar (ou comprar) na internet… e apoderar-se da conta da sua vítima/alvo.

Como se já não bastassem as preocupações com sites que podem guardar as nossas password em “plain text”, ou que as enviam de volta quando se faz a recuperação da password, temos também que nos preocupar com o nível de treino e procedimentos de recuperação de conta através do serviço de apoio ao cliente.

Aberto até de Madrugada

PARTILHAR

4 COMENTÁRIOS

  1. A história está mal contada.
    Evidentemente o apoio ao cliente não podia dizer outra coisa que só seria possível aceder à conta com user e passwd correctas… seria como admitir abertamente uma completa falta de segurança!

    Se o atacante já tinha entrado para adicionar um email, porque não fez imediatamente a transferência do dinheiro???
    Não terá sido o “expert” que caíu na esparrela de clicar no link falsificado presente no email indo parar a uma página falsa e então ter fornececido ‘involuntariamente’ ao atacante a password (velha e nova)???

  2. Quer a jornalista dizer que o cartão multibanco ou de crédito são mais seguros que o paypal? Usem a cabeça antes de escrever…

Benfica 2-0 Vitória SC | "Águia" vence e adia festa do Porto

Não foi esta terça-feira que o FC Porto festejou o 29º título de campeão nacional. Na recepção ao Vitória Sport Clube, o Benfica venceu por 2-0, num embate relativo à 32ª jornada da Liga NOS, …

Elon Musk lança concurso para ver quem consegue bater um caracol

O multimilionário, através da sua empresa especializada em construção de túneis, lançou um concurso mundial para ver quem é capaz de bater um caracol. De acordo com o jornal Daily Mail, Elon Musk lançou um concurso …

Covid-19. Tóquio quer pagar até quatro mil euros a bares que fiquem fechados

As autoridades de Tóquio, no Japão, estão a ponderar pagar um subsídio, que pode chegar aos quatro mil euros, aos bares que se mantenham fechados para conter a propagação da covid-19 na cidade. De acordo com …

Médicos franceses detetaram primeiro caso de bebé infetado no útero

Médicos em França pensam ter identificado aquele que será o primeiro caso confirmado de um bebé infetado com covid-19 no útero materno. De acordo com o site Business Insider, a equipa médica conta que a …

17 anos depois, Estados Unidos voltam a aplicar a pena capital a nível federal

Os Estados Unidos procederam, esta terça-feira, à primeira execução federal de um prisioneiro no "corredor da morte" em 17 anos, através de uma injeção letal. Daniel Lewis Lee, 47 anos, natural de Yukon (Oklahoma), foi executado …

Com o pretexto de paz, "senhor da guerra" vai ganhando poder na República Centro-Africana

O "senhor da guerra" Ali Darassa foi pago pelo presidente da República Centro-Africana e já influenciou a demissão de um ministro numa tentativa de manter a paz no país. A República Centro-Africana é um país atormentado …

Ministério Público acusa 25 arguidos pela queda do BES

O Ministério Público deduziu acusação, esta terça-feira, contra 25 arguidos, 18 pessoas singulares e sete pessoas coletivas, no âmbito do processo sobre a queda do Universo Espírito Santo. "O Ministério Público do Departamento Central de Investigação …

Agora, até o Toyota Corolla é um crossover

O Toyota Corolla Cross é o mais recente SUV da marca japonesa. Apesar de a marca estar a reforçar a sua gama de SUV, Portugal terá de esperar mais um pouco. Na semana passada, a Toyota …

Da Escócia à Grécia, Kleon pedalou durante 48 dias para regressar a casa

Um jovem grego, "preso" na Escócia devido ao cancelamento dos voos por causa da pandemia de covid-19, decidiu pedalar durante 48 dias consecutivos para conseguir regressar a casa. De acordo com a CNN, Kleon Papadimitriou, de …

Após fugirem da Venezuela, milhares foram obrigados a regressar por causa da pandemia (mas não é assim tão fácil)

Desde 2016, quase cinco milhões de venezuelanos deixaram o país, fugindo da pobreza e dos serviços sociais e de saúde em colapso. Agora, a pandemia de covid-19 forçou-os a regressar à Venezuela - se o …