Domingo, 28 de Abril de 2024
Céu Limpo 23
25/03/2024 às 13h38min - Atualizada em 26/03/2024 às 00h08min

Investigação ESET: novo vazamento expõe códigos 2FA de contas do Google, Whatsapp, TikTok e Facebook

Falha no banco de dados da empresa de roteamento de SMS YX International expôs os códigos de segurança dos serviços

Comentar
Byanka Vieira do Carmo Mendes
Freepik

São Paulo, Brasil – Milhões de códigos de segurança 2FA do Google, WhatsApp, Facebook e TikTok foram vazados a partir de  um banco de dados da YX International. De acordo com as investigações da Anurag Sen, a falha contou com registros mensais que mostram que durante o mês de julho de 2023, o banco de dados estava desprotegido. 

Diante disso, qualquer pessoa que soubesse o endereço IP poderia acessar o banco de dados com apenas um navegador da Web. Na ocasião, foi o site TechCrunch que informou que a YX International - uma empresa asiática que fornece roteamento de 5 milhões de mensagens de texto SMS por dia - havia sido vítima do vazamento de links de redefinição de senha e códigos 2FA para as redes sociais, além de  contas de e-mail e senhas internas da empresa.

Em termos simples, o roteamento de SMS é o que ajuda a enviar mensagens de texto para o destino correto usando redes de celular e provedores regionais. É assim que um usuário recebe um código de segurança por SMS ou um link para fazer login em uma de suas contas ou serviços na Internet.

(comunicado Anurag Sen)

"Muitas empresas estão transferindo seus servidores de produção para a nuvem, mas, infelizmente, eles não têm autenticação e criptografia básicas", disse Sen à Forbes. "O banco de dados exposto mostra que o método de armazenamento e processamento da 2FA deve ser muito mais robusto e seguro", acrescentou.

 

Esse vazamento de dados representa um risco para os usuários?

Apesar de um código 2FA ter uma vida útil curta, com expiração rápida, um cibercriminoso pode tirar vantagem monitorando o banco de dados e as ações de uma vítima ou alvo.

Jake Moore, especialista em cibersegurança da ESET, destacou: "As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.

Embora os usuários não devam ficar muito preocupados com a existência de códigos 2FA no banco de dados vazado, isso deve ser um convite para explorar outras medidas de segurança disponíveis. Como explica Moore: "As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas".

Por fim, a YX International assegurou que a vulnerabilidade foi corrigida.

A ESET compartilha alguns aspectos-chave que devem ser considerados após receber uma notificação sobre uma violação de dados:

  • Manter a calma e ler a notificação atentamente: leia os detalhes do incidente até que façam sentido e compreenda o que foi roubado e o que isso implica. Também vale a pena guardar o e-mail com a notificação caso precise comprovar no futuro que a violação foi responsabilidade de terceiros.
     
  • Certificar-se de que a notificação seja realmente legítima: uma campanha de phishing pode tentar chamar a atenção dos usuários alegando que seus dados foram envolvidos em uma violação para que cliquem em um link malicioso ou divulguem informações pessoais. Portanto, a primeira coisa a fazer diante de uma mensagem desse tipo é entrar em contato diretamente com a organização ou serviço que sofreu a violação, seja pelo site oficial ou pelas redes sociais. Se for uma fraude, denuncie e/ou exclua a mensagem.
     
  • Manter a guarda alta contra possíveis fraudes: é provável que os atores maliciosos responsáveis pela violação tentem vender seus dados pessoais em fóruns clandestinos na dark web. Por isso, é importante estar atento a qualquer e-mail ou mensagem com aparência legítima que chegue após uma violação de dados.
     
  • Alterar as senhas: mesmo que suas credenciais de login não tenham sido comprometidas na violação, atualizar as senhas pode ser uma boa ideia para garantir paz de espírito. E também trocar as senhas de qualquer outra conta em que você use a mesma chave de login.
     
  • Revisar as contas bancárias e outras contas online: se a notificação alertar que as informações de login foram roubadas e forem usadas as mesmas para outras contas, altere-as imediatamente. Também vale a pena revisar as contas bancárias em busca de qualquer atividade suspeita.
     
  • Cancelar ou congelar os cartões: diante da notificação de uma violação grave que envolve informações financeiras, é evidente que se deve informar imediatamente ao banco, cancelar ou congelar os cartões e trocar qualquer senha.
     
  • Procurar proativamente pelos detalhes roubados: se as informações fornecidas pela organização que sofreu a violação forem muito vagas, é possível investigar para descobrir quais informações pessoais foram expostas. Sites como Have I Been Pwned oferecem esse tipo de serviço gratuitamente.
     
  • Buscar compensação: se a violação causou angústia emocional ou financeira, é possível buscar algum tipo de compensação. Também é possível entrar em contato com o regulador de privacidade nacional para entender seus direitos e/ou consultar um especialista legal.

Para saber mais sobre segurança da informação, visite o portal de notícias ESET.  A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse o link.

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.

Copyright © 1992 - 2023. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.

Contatos para Imprensa:
(11) 98933-4840


Byanka Mendes - [email protected]

Leonardo Nascimento - [email protected].br

Manuel Quilarque - [email protected]


 
Link
Notícias Relacionadas »
  • HPE Financial Services reciclou mais de 4,2 milhõe
    26/04/2024
  • OdontoCompany aumenta eficiência com novas soluçõe
    26/04/2024
  • Digitalks Florianópolis convida especialistas para
    26/04/2024
  • Prêmio reconhece as iniciativas de inclusão femini
    26/04/2024
  • Reconhecimento facial: tecnologia mais assertiva p
    26/04/2024
  • Fórum MoOve On 2024 discute tecnologia, decisões h
    26/04/2024
  •              Dor de cabeça com hóspedes? Saiba com
    26/04/2024
  • Guia do Curioso: Desvendando 3 funções secretas do
    26/04/2024
  • 5 maneiras de usar a IA para turbinar seus negócio
    26/04/2024
    • Comentários »
    © 2024 Gazeta da Semana - Todos os direitos reservados
    Disponível no Google Play
    Fale pelo Whatsapp
    Atendimento
    Precisa de ajuda? fale conosco pelo Whatsapp