Olhar Digital > Notícias > Conta do CEO do Twitter é invadida usando procedimento simples

Conta do CEO do Twitter é invadida usando procedimento simples

Os criminosos convenceram atendentes da AT&T, operadora usada por Jack Dorsey, a atribuir a linha do CEO a um SIM Card controlado por eles.
Luiz Nogueira02/09/2019 11h51, atualizada em 02/09/2019 13h16

20190902090001-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Na última sexta-feira (30), Jack Dorsey, CEO do Twitter, teve sua conta na rede social invadida por um grupo de hackers. Os cibercriminosos conseguiram acesso à conta se aproveitando de uma vulnerabilidade no sistema de autenticação por telefone. O acesso indevido foi usado para espalhar mensagens ofensivas usando a conta do CEO.

Os hackers, identificados como o grupo Chuckling Squad, espalharam a mensagem usando o serviço Cloudhopper – comprado pelo Twitter em 2010 – que permite que tuítes sejam postados apenas enviando mensagens de texto para um número específico. Esta é uma forma simples de permitir que quem não tem acesso ao aplicativo do Twitter possa postar na rede social.

Para realizar a invasão, os hackers usaram uma técnica conhecida como “SIM Swap”. Essencialmente, eles convenceram a operadora a atribuir o número de Dorsey a um novo telefone que eles controlavam. Essa não é uma técnica nova, embora seja usada com frequência para roubar Bitcoins.

Os usuários podem se proteger adicionando um código PIN à sua conta da operadora ou registrando contas online, como o Twitter, usando número fictícios, mas essas técnicas podem exigir muito do usuário comum. Com isso, a troca de SIM se tornou uma das técnicas favoritas dos criminosos para criar problemas online.

Falhas nos processos de segurança

O Twitter atribui o erro à operadora AT&T, usada por Dorsey. Segundo o que foi apurado, os criminosos entraram em contato com o suporte da operadora e solicitaram que o número de Dorsey fosse portado para outro SIM. A operadora atendeu à solicitação, dando acesso total do número do CEO para os criminosos.

Obviamente, a falta de um procedimento de segurança do Cloudhopper facilitou o ataque dos hackers à conta de Dorsey. Mas a falta de verificações de segurança no sistema da AT&T também é responsável pelo incidente. Felizmente, segundo o Twitter, a conta foi recuperada 18 minutos após sua invasão.

Esse hack mostra a vulnerabilidade das operadoras de telefonia e a necessidade da adoção de um método de autenticação de dois fatores, que vai além do uso de apenas mensagens de texto (SMS) para receber um código de confirmação de identidade.

Via: The Verge/ Forbes

Luiz Nogueira
Editor(a)

Luiz Nogueira é editor(a) no Olhar Digital

Ícone tagsTags: