Lições aprendidas com a invasão ao Twitter da Associated Press

Você confiaria em um e-mail que diz: “Por favor, leia o seguinte artigo, que é muito importante: www.washinqtonpost.com/blogs/worldviews/wp/2013/04/23/”?

Esse foi um e-mail que teria sido enviado a vários funcionários da Associated Press, a menos de uma hora antes do feed do Twitter da empresa ser tomado e utilizado para emitir vários tweets, incluindoum falsa notícia em que o presidente Obama tinha sido ferido por explosões na Casa Branca. Uma deixa para uma um alerta temporário no mercado de ações.

Os usuários de e-mail de olhos mais aguçados, que não estavam distraídos, devem ter notado que Washington estava grafado no link. Mas todos os outros indícios sugerem que a mensagem era de um colega funcionário da AP, inclusive o endereço de email do remetente, bem como o nome e número de telefone listados na parte inferior do e-mail.

O repórter Mike Baker da AP disse via Twitter que o e-mail fraudulento tinha sido “impressionante disfarçado.” O que nos faz concluir por que é tão difícil bloquear ataques como este, que também já derrubaram todos os investimentos em empresas de segurança da RSA e mídias gigantes como o The New York Times: essas mensagens são incrivelmente baratas e fáceis de desenvolver e lançar, e quem ataca só precisa de um destinatário para clicar em um link para que possa comprometer potencialmente o primeiro PC, e depois toda uma rede.

O site para qual o link direcionava foi muito provavelmente construído para se assemelhar a uma página de blog real do Washington Post ? que pedia para que o usuário digitasse seu nome de usuário e senha. Ele poderia até permitir que o usuário usasse suas credenciais do Twitter para entrar. Se o usuário compartilhasse suas credenciais, os dados seriam passados ??para quem estava fazendo o ataque, que, então, seria capaz desfazer o login como sendo essa pessoa em qualquer site em o alvo tinha reutilizado a mesma senha.

Como as empresas podem impedir que uma conta Twitter seja sequestrada como aconteceu com a Associated Press? A resposta é que é muito difícil para os usuários detectarem qualquer tentativa de fraude, e também é difícil proteger adequadamente as contas no Twitter contra sequestros, seja para um indivíduo ou uma empresa. Para começar, isso acontece porque só um nome de usuário e senha são necessários para efetuar login em uma conta do Twitter, e o nome de usuário já é de conhecimento público.

“O nome de usuário é um problema”, disse Sean Sullivan, assessor de segurança em laboratórios da F-Secure, em entrevista por telefone. “Considere o seu banco online. O meu banco emitiu para mim um número único de cliente e eu não posso compartilhar isso com ninguém. Assim, tanto o nome de usuário e a senha são secretos. Mas com as mídias sociais e sites de relacionamento metade do segredo se foi.”

Outra questão é a falta de contas de administrador. Atualmente, uma única conta no Twitter como @AP tem apenas uma única senha. Assim, quem precisa ter acesso à conta deve informar a senha, e quanto mais cópias da senha se proliferam, maior a probabilidade de que ela seja gravada em vários lugares, o que torna um alvo para malware de data-exfiltration.

O Twitter declarou que está testando um sistema de autenticação de dois fatores para os usuários, mas isso não será uma panaceia de segurança, especialmente para usuários corporativos. “Os sistemas de dois fatores são ótimos para um indivíduo, mas para as contas que têm dez usuários ele não tem escala, porque as equipes podem trabalhar em turnos, como na AP”, alegou Sullivan.

Além disso, os sistemas de dois fatores podem ser derrotados através de sistemas de redefinição de senha, pelo menos por algum tempo. Isso porque se um usuário perde um smartphone, por meio do qual um código pode ser enviado de uma só vez via SMS, ou que contenha um aplicativo de autenticação, os oportunistas precisam precisam de outra maneira para entrar em sua conta. Assim, muitos usuários adicionam uma conta de email de backup no Twitter, em que uma senha de uso único pode ser enviada a partir da tela de redefinição de senha do Twitter.

Se isso acontece, a pessoa que está tentando fazer o ataque irá comprometer primeiro a conta de e-mail e pode simplesmente pedir para redefinir uma senha para a conta vinculada e, então, receberá uma senha de único acesso para a conta de e-mail que está comprometida. Além disso, o Twitter permite que as pessoas a procurem usuários com base em seu endereço de e-mail, oferecendo uma ferramenta aos oportunistas para farejar qual é o e-mail  que está provavelmente ligado a uma conta de destino.

“Então eles permitem que você procure contas com um endereço de e-mail, mas depois consideram isso como informações pessoais para uma pergunta secreta da senha”, argumentou Sullivan. “Isso pode ter sido bom quando as contas pessoais eram utilizadas para se divertir, há cinco anos. Mas realmente não serve para os feeds da Associated Press, com os quais os algoritmos da Wall Street estão sintonizados para monitorar.”