O material obtido criminosamente pelo grupo de hackers
pé-de-chinelo (se é que somente os quatro suspeitos presos foram os
responsáveis por invadir quase 1000 celulares de altas autoridades da República)
e “entregue de mão beijada” ao criador do panfleto digital proselitista The Intercept — que vem vazando
seletivamente trechos fora de contexto e possivelmente adulterados — é mais uma
prova cabal de que segurança absoluta no universo digital é mera cantilena para
dormitar bovinos.
Mesmo que a investigação ainda esteja em curso e os detalhes
continuem sob segredo de Justiça, o que já foi divulgado deixa claro que as
vítimas não se preocuparam em ativar a
autenticação em duas etapas no Telegram e tampouco utilizaram o “chat privado”, no qual as mensagens são
encriptadas e desaparecem automaticamente segundos ou minutos depois de lidas. Como a maioria de nós, Moro, Dallagnol e os demais envolvidos no furdunço privilegiaram a comodidade em detrimento da segurança, e o grande problema com as consequências é
que elas vêm depois.
Habilitar a autenticação
em duas etapas é fundamental para garantir a segurança de contas e
logins, seja em aplicativos mensageiros, como o WhatsApp e o próprio Telegram,
seja em redes sociais, serviços e webmail e tudo mais que envolva dados “sensíveis”. Na maioria dos serviços, essa proteção adicional funciona por meio de um código numérico (token) registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Assim, sempre que se conectar
usando um novo dispositivo, o usuário terá de informar o token para concluir o processo de login; se alguém descobrir sua
senha, esse alguém só conseguirá acessar suas informações se obtiver também esse
código adicional.
A questão é que o envio do código pode ser feito por email ou SMS, e por ser essa a opção mais prática, ela é adotada por 9 em
cada dez internautas. Mas praticidade e segurança nem sempre caminham
juntas.
Por padrão, sempre que um email ou torpedo é recebido, o
smartphone exibe uma notificação, mesmo que o bloqueio da tela esteja ativado.
E é aí que mora o perigo. A Forbes
publicou um vídeo de um grupo de hackers da Positive Technologies mostrando como foi possível acessar uma
carteira de bitcoin na Coinbase por meio de interceptação de SMS.
Tudo começa quando os pesquisadores tentam recuperar a senha
de uma conta do Gmail. Após obterem
alguns dados (como nome e sobrenome) da “vítima”, eles solicitam um SMS com o código de recuperação, que é
interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é só mudar a combinação da
conta. Feito isso, bastou entrar na Coinbase
e acessar o “Esqueci minha senha”: o
serviço de carteira de criptomoedas enviou um link de troca de senha, e a
alteração foi realizada sem a menor dificuldade. Confira (são apenas 3
minutos):
Com informações do site Tecnoblog.
