Vulnerabilidade no MFA Twitter. Hackers obtêm caminho para uma possível aquisição de conta desativando o segundo fator do SMS.
Pesquisadores de segurança alertam que a autenticação multifator no Twitter contém uma vulnerabilidade que permite o possível controle de contas.
A vulnerabilidade ocorre quando o Twitter entra em sua terceira semana sob a propriedade de Elon Musk, um período durante o qual os principais funcionários de segurança e conformidade da empresa partiram, muitos funcionários e contratados foram demitidos e rachaduras começaram a aparecer na empresa.
Um pesquisador contatou o Information Security Media Group sob condição de anonimato para revelar que enviar uma mensagem de texto “STOP” para o serviço de verificação do Twitter faz com que o serviço desative a autenticação de dois fatores por SMS. “Seu telefone foi removido e o SMS 2FA foi desativado de todas as contas“, é a resposta automática.
A vulnerabilidade, verificada pelo ISMG, permite que um hacker falsifique o número de telefone registrado para desativar a autenticação de dois fatores. Isso potencialmente expõe as contas a um ataque de redefinição de senha ou controle de conta por meio de preenchimento de senha. O Twitter permite que os usuários configurem a autenticação multifator por outros meios além do SMS, incluindo um aplicativo de autenticação e uma chave de segurança. O Twitter não respondeu imediatamente a um pedido de comentário; segundo o ISNG, a equipe de comunicação supostamente não existe mais.
“Este não é o momento em que você deseja ser visto como desativando recursos que possam impedir a aquisição de contas”, disse Jeremy Grant, membro do grupo de gerenciamento de riscos de segurança cibernética da Venable e colaborador do ISMG.
A segurança da conta tem sido um ponto delicado para o Twitter mesmo antes de Elon Musk entrar na sede da empresa em San Francisco no final do mês passado carregando uma pia poucas horas antes de concluir sua aquisição por US$ 44 bilhões. Em 2017, hackers adolescentes assumiram o controle de dezenas de contas importantes, incluindo a de Musk – bem como as contas de Barack Obama, Kim Kardashian West e Jeff Bezos – para twittar um golpe de criptomoeda.
O Departamento de Serviços Financeiros de Nova York determinou que o Twitter tinha protocolos de segurança interna fracos e carecia de um executivo sênior responsável pela segurança cibernética.
Durante o mandato de Musk como executivo-chefe, surgiu outro problema relacionado ao controle de contas – uma série de contas falsas se passando por marcas multinacionais que pareciam genuínas, graças à presença de uma marca de seleção azul. Musk afirmou que a marca de seleção azul, que o Twitter concedeu a jornalistas, celebridades e marcas depois de verificar se o titular da conta é genuíno, criou um “sistema de senhores e camponeses“. O novo executivo-chefe de mídia social disse que disponibilizaria o símbolo para qualquer pessoa que pagasse US$ 8 por mês, sem verificar sua identidade.
A reportagem de Casey Newton mostra que a equipe de confiança e segurança da empresa tentou avisar Musk de antemão de que US$ 8 não impediriam os imitadores.
Musk prosseguiu mesmo assim. Durante um período de aproximadamente dois dias, trapaceiros se fizeram passar pela empresa farmacêutica Eli Lilly ao anunciar que a insulina agora seria gratuita, a produtora de banana Chiquita ao declarar a derrubada do governo brasileiro e a fabricante de carros elétricos liderada por Musk Tesla ao estender uma oferta de enviar 10.000 carros para apoiar os militares ucranianos. “Nossos carros são os dispositivos mais explosivos do mercado“, disse a conta da marca de seleção azul @TesIaReal. Musk suspendeu o programa.
A essa altura, a onda de falsificações havia chamado a atenção do senador democrata Ed Markey, que escreveu a Musk dizendo que suas ações “aceleraram a queda do Twitter no Velho Oeste da mídia social“. A carta estava vinculada a uma reportagem de sexta-feira, 11 de novembro, do The Washington Post, na qual um repórter se fazia passar pelo legislador de Massachusetts.
“Estou pedindo respostas de @elonmusk, que está colocando lucros sobre as pessoas e sua dívida para impedir a desinformação. O Twitter deve explicar como isso aconteceu e como evitar que aconteça novamente“, tuitou Markey .
“Talvez seja porque sua conta real soa como uma paródia?” Musk respondeu .
Fonte: Bankinfo Security
Veja também:
- Apps do Microsoft 365 continuam sendo os serviços de nuvem mais explorados
- VMware corrige três erros críticos de desvio de autenticação
- Como sua privacidade e segurança podem estar em risco
- Extensão maliciosa permite que invasores controlem o Google Chrome remotamente
- Golpe do PIX já atingiu pelo menos 11 cidades do Sudeste
- Hackers exploram vulnerabilidades dos drivers Cisco AnyConnect e GIGABYTE
- Crimes financeiros na era dos dados
- AGORA É PRA VALER – VOTEM NO MINUTO DA SEGURANÇA
- Hackers vendem acesso a 576 redes corporativas por US$ 4 milhões
- Livro: “A Máquina e a Mente”
- Quais são as ameaças à segurança do Android que a TI deve saber?
Deixe sua opinião!