MaksymFilipchuk - stock.adobe.co
Vazamento expõe códigos 2FA de contas do Google, Whatsapp, TikTok e Facebook
Falha no banco de dados da empresa de roteamento de SMS YX International expôs os códigos de segurança dos serviços, mostra investigação do ESET.
Milhões de códigos de segurança 2FA do Google, WhatsApp, Facebook e TikTok foram vazados a partir de um banco de dados da YX International. De acordo com as investigações da Anurag Sen, a falha contou com registros mensais que mostram que durante o mês de julho de 2023, o banco de dados estava desprotegido.
Diante disso, qualquer pessoa que soubesse o endereço IP poderia acessar o banco de dados com apenas um navegador da Web. Na ocasião, foi o site TechCrunch que informou que a YX International -uma empresa asiática que fornece roteamento de 5 milhões de mensagens de texto SMS por dia- havia sido vítima do vazamento de links de redefinição de senha e códigos 2FA para as redes sociais, além de contas de e-mail e senhas internas da empresa.
Em termos simples, o roteamento de SMS é o que ajuda a enviar mensagens de texto para o destino correto usando redes de celular e provedores regionais. É assim que um usuário recebe um código de segurança por SMS ou um link para fazer login em uma de suas contas ou serviços na internet.
Jake Moore, especialista em cibersegurança da ESET, destacou: "As senhas de uso único via SMS são uma opção segura em comparação com uma senha única. No entanto, as ameaças são multicamadas, portanto, as contas precisam de uma proteção que também seja multicamada para mantê-las seguras.” Segundo a ESET, a pesar de um código 2FA ter uma vida útil curta, com expiração rápida, um cibercriminoso pode tirar vantagem monitorando o banco de dados e as ações de uma vítima ou alvo.
Embora os usuários não devam ficar muito preocupados com a existência de códigos 2FA no banco de dados vazado, isso deve ser um convite para explorar outras medidas de segurança disponíveis. Como explica Moore: "As mensagens de texto usam tecnologia ultrapassada, e uma prática de segurança muito boa é manter-se atualizado com os mais recentes desenvolvimentos em proteção de contas".
Por fim, a YX International assegurou que a vulnerabilidade foi corrigida.
A ESET compartilha alguns aspectos-chave que devem ser considerados após receber uma notificação sobre uma violação de dados:
- Manter a calma e ler a notificação atentamente: leia os detalhes do incidente até que façam sentido e compreenda o que foi roubado e o que isso implica. Também vale a pena guardar o e-mail com a notificação caso precise comprovar no futuro que a violação foi responsabilidade de terceiros.
- Certificar-se de que a notificação seja realmente legítima: uma campanha de phishing pode tentar chamar a atenção dos usuários alegando que seus dados foram envolvidos em uma violação para que cliquem em um link malicioso ou divulguem informações pessoais. Portanto, a primeira coisa a fazer diante de uma mensagem desse tipo é entrar em contato diretamente com a organização ou serviço que sofreu a violação, seja pelo site oficial ou pelas redes sociais. Se for uma fraude, denuncie e/ou exclua a mensagem.
- Manter a guarda alta contra possíveis fraudes: é provável que os atores maliciosos responsáveis pela violação tentem vender seus dados pessoais em fóruns clandestinos na dark web. Por isso, é importante estar atento a qualquer e-mail ou mensagem com aparência legítima que chegue após uma violação de dados.
- Alterar as senhas: mesmo que suas credenciais de login não tenham sido comprometidas na violação, atualizar as senhas pode ser uma boa ideia para garantir paz de espírito. E também trocar as senhas de qualquer outra conta em que você use a mesma chave de login.
- Revisar as contas bancárias e outras contas online: se a notificação alertar que as informações de login foram roubadas e forem usadas as mesmas para outras contas, altere-as imediatamente. Também vale a pena revisar as contas bancárias em busca de qualquer atividade suspeita.
- Cancelar ou congelar os cartões: diante da notificação de uma violação grave que envolve informações financeiras, é evidente que se deve informar imediatamente ao banco, cancelar ou congelar os cartões e trocar qualquer senha.
- Procurar proativamente pelos detalhes roubados: se as informações fornecidas pela organização que sofreu a violação forem muito vagas, é possível investigar para descobrir quais informações pessoais foram expostas. Sites como Have I Been Pwned oferecem esse tipo de serviço gratuitamente.
- Buscar compensação: se a violação causou angústia emocional ou financeira, é possível buscar algum tipo de compensação. Também é possível entrar em contato com o regulador de privacidade nacional para entender seus direitos e/ou consultar um especialista legal.