Segurança ultrapassada

Na noite do dia 3, um hacker invadiu a conta da Apple de Mat Honan, e remotamente apagou os dados do seu iPhone, iPad e MacBook e deletou sua conta no Google; ele se apoderou da conta dele no Twitter e depois postou uma série de coisas asquerosas em nome de Honan. Até recentemente, Honan, que escreve na revista Wired e é um dos meus jornalistas de tecnologia prediletos, trabalhava no Gizmodo e sua conta no Twitter ainda estava ligava à pagina do blog de tecnologia. De maneira que, durante cerca de 15 minutos, o hacker conseguiu também postar um punhado de mensagens racistas e obscenas.

Foi num voo atravessando o país que li a primeira postagem de Honan sobre o ataque do hacker. Quando o comandante liberou o Wi-Fi a bordo, fiz o que sempre faço quando tomo conhecimento de um ataque que poderia ter acontecido comigo: mudei minha senha. Isso fez com que eu me sentisse melhor, mas certamente não era o suficiente. Honan passou o fim de semana ao telefone falando com o pessoal do suporte da Apple e, curiosamente, conversando com o hacker. Na manhã de segunda-feira, ele viu exatamente como suas identidades online foram comprometidas. A conclusão: criar senhas melhores não o ajudou.

Num longo artigo na Wired, Honan explicou que o hacker invadiu sua conta não tentando adivinhar suas senhas, mas pedindo por elas. No dia 3, ele ligou para o serviço de suporte da Apple e, fingindo ser Honan, alegou que sua conta na Apple tinha sido fechada.

O atendente pediu então que ele respondesse a algumas perguntas de segurança sobre a conta, mas o hacker disse que havia esquecido as respostas.

Nenhum problema, porque ele sabia algo que muitos de nós desconhecemos: se você não consegue responder às perguntas de segurança, a Apple assim mesmo fornece uma nova senha se você provar que é aquele que afirma que é por meio de uma outra forma de identificação. Que identificação a Apple pede para restabelecer sua senha? Um endereço de cobrança de alguma fatura e os últimos quatro dígitos do seu cartão de crédito.

Endereços de cobrança podem ser encontrados facilmente online e números de cartões de créditos não são muito mais difíceis de obter. O hacker tinha ambos os dados de Honan.

Ele conseguiu o endereço examinando o registro do website pessoal de Honan e obteve o número do cartão de crédito ligando para a central de atendimento de outra gigante da área de tecnologia, a Amazon. Ele pediu à Amazon para trocar e-mail registrado na conta de Honan pelo seu – ou seja, o do hacker – , o que a Amazon fez com prazer.

Em seguida, ele fez um pedido de nova senha no website da Amazon – o que remeteu um link para o e-mail do hacker, permitindo que ele mudasse a senha de Honan e tivesse pleno acesso à sua conta na Amazon, incluindo a possibilidade de ver os últimos quatro dígitos do seu cartão de crédito.

E pronto! Foi assim que o hacker conseguiu entrar na conta de Honan na Apple, e a partir daí ele conseguiu apagar tudo que estivesse ligado à conta do iCloud de Honan (seu iPad, iPhone e Mac). E como Honan havia indicado sua conta do Google como o endereço de e-mail alternativo na conta da Apple, o hacker só precisou fazer um outro pedido de nova senha para entrar no Gmail de Honan também.

Esta é uma história lamentável. Neste caso houve muitas falhas – relativamente pequenas da parte de Honan (ele não tinha feito backup dos seus dados) e enormes, gritantes, horripilantes, por parte da Apple e da Amazon. Mas se você examinar este ataque épico, encontrará algumas lições muito simples.

Nada online é perfeitamente seguro – hackers determinados podem acessar qualquer coisa se estiverem realmente dispostos a isso. Mas o sujeito que atacou Honan não era alguém especializado. Apenas um garoto que só queria provocar o caos e por acaso conhecia alguns pontos vulneráveis da Apple, da Amazon e em sistemas que governam nossas vidas online. Mas algumas medidas simples tornariam esses ataques muito mais difíceis. O que estou sugerindo não é difícil. Faça isso agora.

Abaixo vão quatro dicas que usuários e empresas poderiam adotar imediatamente para reduzir o risco desse tipo de ataque.

BRECHAS

Depois que o caso do jornalista Mat Honan foi noticiado, a Amazon e a Apple mudaram suas políticas de atendimento por telefone. Segundo a Wired, os atendentes da Amazon não estavam mais autorizados a mudar informações da conta na loja por telefone, como o e-mail ou número de cartão de crédito.

O serviço de atendimento da Apple também suspendeu a troca de senhas das contas por telefone, o que permitiu o roubo da conta de Honan. Um atendente disse à Wired na terça-feira que a suspensão duraria 24 horas até que fosse encontrada uma solução mais segura.

@TRADUÇÃO DE TEREZINHA MARTINO