Tweet
Segurança no Twitter não é à prova de balas, alertam especialistas
Autenticação de dois fatores não é suficiente para proteger contas de alto perfil na rede social
Embora os especialistas elogiem a decisão do Twitter de fornecer aos usuários a autenticação de dois fatores, eles alertam ainda ser necessário uma segurança adicional para impedir o sequestro de contas de alto perfil.
A rede social disse na semana passada que as pessoas que optarem por aproveitar o serviço terão que colocar um código de seis dígitos, enviado por mensagem para o celular, todas as vezes que acessarem o microblog.
Ao mesmo tempo que essa autenticação adicional significa um pouco mais de trabalho, ela também aumenta a dificuldade para crackers.
O Twitter lançou a implementação de segurança após uma série de sequestros de contas. Desde o mês passado, um grupo que se autodenomina Exército Eletrônico da Síria tomou crédito por invadir as contas da Associated Press, Financial Times, National Public Radio e The Guardian. O grupo diz que visa a grande mídia e que são simpáticos aos rebeldes da Síria.
A invasão à conta da AP foi particularmente dramática. Os crackers postaram tuítes falsos dizendo "duas explosões na Casa Branca e Barack Obama está ferido". O relato falso entregue aos 1,9 milhão de seguidores da AP causou queda no Dow Jones de mais de 100 pontos.
A rede social não é a primeira grande empresa de Internet a liberar a autenticação de dois fatores: Google e Facebook também oferecem o serviço como opção.
Não é útil para contas compartilhadas
Embora a segurança adicional seja um ponto positivo, ela provavelmente não ajudará as organizações de notícias, disse o consultor sênior de tecnologia da empresa de antivírus Sophos, Graham Cluley. Isso porque essas empresas têm muitos membros da esquipe espalhados pelo mundo, responsáveis pela postagem em uma única conta do Twitter - o que torna impossível para eles usarem o mesmo celular.
"É um problema complexo de corrigir, e por essa razão muitas organizações de mídia podem optar por não fornecer a segurança adicional neste momento", disse Cluley no blog da empresa na quinta-feira (23).
Estas organizações podem utilizar um serviço intermediário para atuar como proxy quando postarem no Twitter, disse Cluley. Mas as empresas teriam de verificar se o serviço possui sistemas de segurança adequados para impedir a entrada de crackers.
Outros caminhos são vulneráveis
Para celebridades e para as pessoas comuns, ter a autenticação de dois fatores habilitada não os protegem de determinados crackers, que podem recorrer a técnicas de ataque man-in-the-middle para capturar as senhas de seis dígitos. Tais técnicas consistem no cracker enviando, de alguma forma, uma página de login falsa similar a do Twitter. Uma vez que o atacante possui o código, ele pode acessar a conta e bloquear o usuário legítimo.
Além disso, computadores pessoais infectados com malware equipado com ferramentas de acesso remoto também são capazes de ignorar a autenticação, disse Etay Maor, gerente de solução de prevenção contra fraude da Trusteer. Maor disse ainda que o Twitter deveria ter exigido a autenticação adicional. "A segurança é importante o suficiente para ser obrigatória", disse.
Em geral, todas as melhores práticas para a proteção de contas ainda faltam ao site. As empresas devem restringir o acesso às contas e garantir que os funcionários usem senhas fortes. Além disso, os funcionários devem ser treinados para ficarem atentos a malwares em anexos de e-mail enviados por meio de campanhas de spear-phishing (ataques direcionados) para roubar credenciais.
"Isto não é sobre o Twitter, é sobre a sua própria segurança e proteção de marca e reputação da sua própria empresa", disse Nick Hayes, analista da Forrester Research, em um post no blog da empresa.
Autenticação de dois fatores não é suficiente para proteger contas de alto perfil na rede social
Embora os especialistas elogiem a decisão do Twitter de fornecer aos usuários a autenticação de dois fatores, eles alertam ainda ser necessário uma segurança adicional para impedir o sequestro de contas de alto perfil.
A rede social disse na semana passada que as pessoas que optarem por aproveitar o serviço terão que colocar um código de seis dígitos, enviado por mensagem para o celular, todas as vezes que acessarem o microblog.
Ao mesmo tempo que essa autenticação adicional significa um pouco mais de trabalho, ela também aumenta a dificuldade para crackers.
O Twitter lançou a implementação de segurança após uma série de sequestros de contas. Desde o mês passado, um grupo que se autodenomina Exército Eletrônico da Síria tomou crédito por invadir as contas da Associated Press, Financial Times, National Public Radio e The Guardian. O grupo diz que visa a grande mídia e que são simpáticos aos rebeldes da Síria.
A invasão à conta da AP foi particularmente dramática. Os crackers postaram tuítes falsos dizendo "duas explosões na Casa Branca e Barack Obama está ferido". O relato falso entregue aos 1,9 milhão de seguidores da AP causou queda no Dow Jones de mais de 100 pontos.
A rede social não é a primeira grande empresa de Internet a liberar a autenticação de dois fatores: Google e Facebook também oferecem o serviço como opção.
Não é útil para contas compartilhadas
Embora a segurança adicional seja um ponto positivo, ela provavelmente não ajudará as organizações de notícias, disse o consultor sênior de tecnologia da empresa de antivírus Sophos, Graham Cluley. Isso porque essas empresas têm muitos membros da esquipe espalhados pelo mundo, responsáveis pela postagem em uma única conta do Twitter - o que torna impossível para eles usarem o mesmo celular.
"É um problema complexo de corrigir, e por essa razão muitas organizações de mídia podem optar por não fornecer a segurança adicional neste momento", disse Cluley no blog da empresa na quinta-feira (23).
Estas organizações podem utilizar um serviço intermediário para atuar como proxy quando postarem no Twitter, disse Cluley. Mas as empresas teriam de verificar se o serviço possui sistemas de segurança adequados para impedir a entrada de crackers.
Outros caminhos são vulneráveis
Para celebridades e para as pessoas comuns, ter a autenticação de dois fatores habilitada não os protegem de determinados crackers, que podem recorrer a técnicas de ataque man-in-the-middle para capturar as senhas de seis dígitos. Tais técnicas consistem no cracker enviando, de alguma forma, uma página de login falsa similar a do Twitter. Uma vez que o atacante possui o código, ele pode acessar a conta e bloquear o usuário legítimo.
Além disso, computadores pessoais infectados com malware equipado com ferramentas de acesso remoto também são capazes de ignorar a autenticação, disse Etay Maor, gerente de solução de prevenção contra fraude da Trusteer. Maor disse ainda que o Twitter deveria ter exigido a autenticação adicional. "A segurança é importante o suficiente para ser obrigatória", disse.
Em geral, todas as melhores práticas para a proteção de contas ainda faltam ao site. As empresas devem restringir o acesso às contas e garantir que os funcionários usem senhas fortes. Além disso, os funcionários devem ser treinados para ficarem atentos a malwares em anexos de e-mail enviados por meio de campanhas de spear-phishing (ataques direcionados) para roubar credenciais.
"Isto não é sobre o Twitter, é sobre a sua própria segurança e proteção de marca e reputação da sua própria empresa", disse Nick Hayes, analista da Forrester Research, em um post no blog da empresa.
