Na última sexta-feira (30), Jack Dorsey, CEO do Twitter, teve sua conta na rede social invadida por um grupo de hackers. Os cibercriminosos conseguiram acesso à conta se aproveitando de uma vulnerabilidade no sistema de autenticação por telefone. O acesso indevido foi usado para espalhar mensagens ofensivas usando a conta do CEO.
Os hackers, identificados como o grupo Chuckling Squad, espalharam a mensagem usando o serviço Cloudhopper – comprado pelo Twitter em 2010 – que permite que tuítes sejam postados apenas enviando mensagens de texto para um número específico. Esta é uma forma simples de permitir que quem não tem acesso ao aplicativo do Twitter possa postar na rede social.
Para realizar a invasão, os hackers usaram uma técnica conhecida como “SIM Swap”. Essencialmente, eles convenceram a operadora a atribuir o número de Dorsey a um novo telefone que eles controlavam. Essa não é uma técnica nova, embora seja usada com frequência para roubar Bitcoins.
Os usuários podem se proteger adicionando um código PIN à sua conta da operadora ou registrando contas online, como o Twitter, usando número fictícios, mas essas técnicas podem exigir muito do usuário comum. Com isso, a troca de SIM se tornou uma das técnicas favoritas dos criminosos para criar problemas online.
Falhas nos processos de segurança
O Twitter atribui o erro à operadora AT&T, usada por Dorsey. Segundo o que foi apurado, os criminosos entraram em contato com o suporte da operadora e solicitaram que o número de Dorsey fosse portado para outro SIM. A operadora atendeu à solicitação, dando acesso total do número do CEO para os criminosos.
Obviamente, a falta de um procedimento de segurança do Cloudhopper facilitou o ataque dos hackers à conta de Dorsey. Mas a falta de verificações de segurança no sistema da AT&T também é responsável pelo incidente. Felizmente, segundo o Twitter, a conta foi recuperada 18 minutos após sua invasão.
Esse hack mostra a vulnerabilidade das operadoras de telefonia e a necessidade da adoção de um método de autenticação de dois fatores, que vai além do uso de apenas mensagens de texto (SMS) para receber um código de confirmação de identidade.
Tags: