{"id":5475,"date":"2018-08-13T14:48:50","date_gmt":"2018-08-13T17:48:50","guid":{"rendered":"https:\/\/www.soluciomatica.com.br\/blog\/?p=5475"},"modified":"2018-08-13T14:48:50","modified_gmt":"2018-08-13T17:48:50","slug":"falha-permite-que-hackers-invadam-diversas-contas-mesmo-com-2fa","status":"publish","type":"post","link":"https:\/\/www.soluciomatica.com.br\/blog\/falha-permite-que-hackers-invadam-diversas-contas-mesmo-com-2fa\/","title":{"rendered":"Falha permite que hackers invadam diversas contas mesmo com 2FA"},"content":{"rendered":"<p>A autentica\u00e7\u00e3o de dois fatores (ou duas etapas; abrevia\u00e7\u00e3o: 2fa) \u00e9 um dos \u00faltimos ref\u00fagios que os usu\u00e1rios comuns se seguram quando falamos sobre seguran\u00e7a. O problema disso \u00e9 que nem esse cantinho da prote\u00e7\u00e3o est\u00e1 mais t\u00e3o seguro.<\/p>\n<p>De acordo com o pesquisador Martin Vigo, conversando com a Mashable durante o evento DEF COM, \u00e9 poss\u00edvel resetar senhas de diversos tipos de contas utilizando o correio de voz em celulares. Entre essas contas, estamos falando e Google, Apple, Microsoft, WhatsApp e o famoso Signal, recomendado anteriormente por Edward Snowden.<\/p>\n<p>Por meio de um script simples, Martin demonstrou como utilizar ataques de for\u00e7a bruta para obter a senha do correio de voz de um celular. Com esse acesso, um atacante pode obter o c\u00f3digo de redefini\u00e7\u00e3o de senha de uma conta online e, consequentemente, o controle da pr\u00f3pria conta.<\/p>\n<p>Isso \u00e9 feito, ap\u00f3s o ataque de for\u00e7a bruta, por meio de liga\u00e7\u00f5es sucessivas de outros n\u00fameros, inundando o aparelho. Durante essa avalanche de liga\u00e7\u00f5es, um atacante pediria a mudan\u00e7a de senha e receberia o c\u00f3digo 2FA. Em demonstra\u00e7\u00e3o, Martin invadiu uma conta do PayPal e pediu a senha de autentica\u00e7\u00e3o por liga\u00e7\u00e3o automatizada.<\/p>\n<p>De acordo com Martin, a sequ\u00eancia do ataque acontece dessa maneira:<br \/>\n1. Ataque de for\u00e7a bruta no sistema de correio de voz, idealmente usando n\u00fameros de backdoor<br \/>\n2. Certifique-se de que as chamadas v\u00e3o diretamente para o correio de voz (chamada flooding, OSINT, HLR)<br \/>\n3. Processo de redefini\u00e7\u00e3o de senha usando o recurso &#8220;Ligue para mim&#8221;<br \/>\n4. Ou\u00e7a a mensagem gravada contendo o c\u00f3digo secreto<br \/>\nObviamente, a descoberta j\u00e1 foi repassada para as empresas \u2014 por\u00e9m, Martin deixou claro que n\u00e3o recebeu uma resposta satisfat\u00f3ria. Para voc\u00ea se proteger por agora, o pesquisador alertou para o usu\u00e1rio desativar o correio de voz e, se n\u00e3o puder fazer isso, definir um PIN de seguran\u00e7a o mais longo poss\u00edvel. Ele ainda notou que \u00e9 melhor usar apps pr\u00f3prios para autentica\u00e7\u00e3o do que a solu\u00e7\u00e3o baseada em SMS.<\/p>\n<p>Cupons de desconto Tec<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A autentica\u00e7\u00e3o de dois fatores (ou duas etapas; abrevia\u00e7\u00e3o: 2fa) \u00e9 um dos \u00faltimos ref\u00fagios que os usu\u00e1rios comuns se seguram quando falamos sobre seguran\u00e7a. O problema disso \u00e9 que nem esse cantinho da prote\u00e7\u00e3o est\u00e1 mais t\u00e3o seguro. De acordo com o pesquisador Martin Vigo, conversando com a Mashable durante o evento DEF COM, &hellip;<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5475","post","type-post","status-publish","format-standard","","category-software"],"_links":{"self":[{"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/posts\/5475","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5475"}],"version-history":[{"count":1,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/posts\/5475\/revisions"}],"predecessor-version":[{"id":5476,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/posts\/5475\/revisions\/5476"}],"wp:attachment":[{"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5475"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5475"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.soluciomatica.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5475"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}