NOVA XAVANTINA

Hackers roubam contas antes mesmo de cadastro, descobre pesquisa

COMPARTILHE

Share on facebook
Share on twitter
Share on pinterest
Share on linkedin
Share on whatsapp

source
Hackers têm método para roubar conta previamente
Unsplash/Mika Baumeister

Hackers têm método para roubar conta previamente

Ficar preocupado com a segurança das suas contas online é normal. Ficar preocupado com suas contas online que ainda não foram criadas pode parecer estranho, mas não é. Uma pesquisa da Microsoft descobriu ser possível hackear um cadastro antes mesmo de o usuário criá-lo. Dropbox, Instagram, LinkedIn, WordPress e Zoom são algumas das plataformas vulneráveis a esses ataques.

O chamado account pre-hijacking — algo como “pré-sequestro de conta”, em tradução livre — se aproveita dos muitos vazamentos de e-mails já ocorridos. O responsável pelo ataque pega um destes e-mails e cria uma conta em um site.

Depois, é só esperar o dono do e-mail se cadastrar, ou induzi-lo a isso. Aí, há cinco tipos de ataques que podem ocorrer, dependendo das vulnerabilidades do site:

  1. A classic-federated merge (CFM, ou “junção clássica federada”): a plataforma une a conta criada pela vítima com a feita pelo hacker. Como o site dá a opção de single sign-on (autenticação única), o usuário não muda a senha, e o responsável pelo ataque continua com acesso à conta.
  2. O unexpired session attack (US, ou “ataque de sessão não-expirada”): o hacker usa um script e segura a sessão ativa após criar a conta. Quando a vítima faz seu cadastro e reseta a senha, aquela sessão pode continuar válida, e o responsável pelo ataque mantém seu acesso.
  3. O trojan identifier (TID, ou “trojan identificador”): o hacker faz o cadastro, mas o associa a uma conta sua em um provedor de identificação. Quando a vítima reseta a senha, o responsável pelo ataque continua com acesso.
  4. O unexpired email change (UEC, ou “troca de e-mail não-expirada”): o hacker muda o e-mail da vítima para seu próprio, recebe a mensagem para confirmar a troca, mas não clica no link. Quando a vítima redefine a senha, ele confirma a mudança e mantém seu acesso.
  5. O non-verifying identity provider attack (NV, ou “ataque de não-verificação do provedor de identidade”): o site não verifica quem é o dono da conta em um provedor de identidade ao criar a conta, permitindo abusos por meio de serviços como Okta ou Onelogin.

Instagram, LinkedIn e Zoom permitiam ataques

Os pesquisadores da Microsoft testaram estes métodos de ataque em diferentes sites. Eles descobriram que o ataque de sessão não-expirada é o mais comum.

Entre as plataformas vulneráveis, alguns nomes se destacam, como Dropbox, Instagram, LinkedIn, WordPress e Zoom. Todas elas foram informadas dos problemas e a maioria consertou as brechas.

E por que esse tipo de falha é tão comum? Para os responsáveis pelo estudo, o principal motivo é querer simplificar ao máximo o cadastro. Isso facilita a vida do cliente e faz as empresas conseguirem mais usuários. Por outro lado, a segurança acaba comprometida.

Para se proteger, as melhores recomendações são ativar a autenticação multi-fatores e usar a opção de encerrar todas as sessões ativas.

Comente abaixo:

COMPARTILHE

Share on facebook
Share on twitter
Share on pinterest
Share on linkedin
Share on whatsapp

FAMOSOS

Últimas Notícias