Connect with us

Tecnologia

Hackers roubam contas antes mesmo de cadastro, descobre pesquisa

Published

on

source
Hackers têm método para roubar conta previamente
Unsplash/Mika Baumeister

Hackers têm método para roubar conta previamente

Ficar preocupado com a segurança das suas contas online é normal. Ficar preocupado com suas contas online que ainda não foram criadas pode parecer estranho, mas não é. Uma pesquisa da Microsoft descobriu ser possível hackear um cadastro antes mesmo de o usuário criá-lo. Dropbox, Instagram, LinkedIn, WordPress e Zoom são algumas das plataformas vulneráveis a esses ataques.

O chamado account pre-hijacking — algo como “pré-sequestro de conta”, em tradução livre — se aproveita dos muitos vazamentos de e-mails já ocorridos. O responsável pelo ataque pega um destes e-mails e cria uma conta em um site.

Depois, é só esperar o dono do e-mail se cadastrar, ou induzi-lo a isso. Aí, há cinco tipos de ataques que podem ocorrer, dependendo das vulnerabilidades do site:

  1. A classic-federated merge (CFM, ou “junção clássica federada”): a plataforma une a conta criada pela vítima com a feita pelo hacker. Como o site dá a opção de single sign-on (autenticação única), o usuário não muda a senha, e o responsável pelo ataque continua com acesso à conta.
  2. O unexpired session attack (US, ou “ataque de sessão não-expirada”): o hacker usa um script e segura a sessão ativa após criar a conta. Quando a vítima faz seu cadastro e reseta a senha, aquela sessão pode continuar válida, e o responsável pelo ataque mantém seu acesso.
  3. O trojan identifier (TID, ou “trojan identificador”): o hacker faz o cadastro, mas o associa a uma conta sua em um provedor de identificação. Quando a vítima reseta a senha, o responsável pelo ataque continua com acesso.
  4. O unexpired email change (UEC, ou “troca de e-mail não-expirada”): o hacker muda o e-mail da vítima para seu próprio, recebe a mensagem para confirmar a troca, mas não clica no link. Quando a vítima redefine a senha, ele confirma a mudança e mantém seu acesso.
  5. O non-verifying identity provider attack (NV, ou “ataque de não-verificação do provedor de identidade”): o site não verifica quem é o dono da conta em um provedor de identidade ao criar a conta, permitindo abusos por meio de serviços como Okta ou Onelogin.

Instagram, LinkedIn e Zoom permitiam ataques

Os pesquisadores da Microsoft testaram estes métodos de ataque em diferentes sites. Eles descobriram que o ataque de sessão não-expirada é o mais comum.

Entre as plataformas vulneráveis, alguns nomes se destacam, como Dropbox, Instagram, LinkedIn, WordPress e Zoom. Todas elas foram informadas dos problemas e a maioria consertou as brechas.

E por que esse tipo de falha é tão comum? Para os responsáveis pelo estudo, o principal motivo é querer simplificar ao máximo o cadastro. Isso facilita a vida do cliente e faz as empresas conseguirem mais usuários. Por outro lado, a segurança acaba comprometida.

Para se proteger, as melhores recomendações são ativar a autenticação multi-fatores e usar a opção de encerrar todas as sessões ativas.

Comente Abaixo
Economia22 minutos ago

PEC dos combustíveis pode ser votada amanhã no Senado

Geraldo Magela/Agência Senado PEC dos Combustíveis deve furar teto de gastos em R$ 34,8 bilhões O Plenário do Senado deve...

Mulher22 minutos ago

Signo de Câncer: confira a previsão especial para o mês de julho

Redação EdiCase Signo de Câncer: confira a previsão especial para o mês de julho Com o Sol em seu signo,...

Polícia Federal22 minutos ago

Polícia Federal deflagra operação de combate a fraudes a Sistema Oficial de controle de produto florestais – SISDOF

Porto Velho/RO – A Polícia Federal deflagrou, nesta terça-feira (28/6), a Operação Paper Wood, que visa desarticular organização criminosa dedicada...

Entretenimento22 minutos ago

Esposa de Cauã Reymond parabeniza Grazi Massafera em aniversário

Reprodução/Instagram – 28.06.2022 Cauã Reymond, Sofia, Mariana Goldfarb e Grazi Massafera Grazi Massafera celebra o aniversário de 40 anos nesta...

Economia22 minutos ago

Governadores de 11 estados e DF acionam STF contra lei que limita ICMS

MARCELLO CASAL JR./AGÊNCIA BRASIL Teto do ICMS para combustíveis: 11 estados e o DF entram no STF contra lei que...

Polícia Federal22 minutos ago

PF prende homem com mais de 8 kg de bombons recheados com cocaína

Guarulhos/SP – A Polícia Federal apreendeu na madrugada de hoje (28/6), no Aeroporto Internacional de São Paulo, em ação conjunta...

Tecnologia22 minutos ago

Windows 11 22H2 vai obrigar uso de conta Microsoft até na versão Pro

Divulgação/Microsoft Windows 11 22H2 chegará no final deste ano O Windows 11 22H2 está chegando nos próximos meses com mudanças importantes. Quem...

São Mateus

Regional

Estadual

Nacional

Policial

ENTRETENIMENTO

POLÍTICA

Esportes

Mais Lidas da Semana