Violacao de conta no SEC expoe falhas de seguranca
Esta semana, a Comissao de Valores Mobiliarios e Cambio dos Estados Unidos (SEC) sofreu uma violacao constrangedora – e **impactante para o mercado** – em que um hacker ganhou acesso a sua conta de rede social X e publicou informacoes falsas sobre um aguardado anuncio relacionado ao bitcoin. Embora a agencia tenha recuperado o controle de sua conta e excluido a postagem em menos de uma hora, a situacao e preocupante, especialmente considerando que a proeminente e respeitada empresa de seguranca Mandiant, de propriedade do Google, teve sua conta X comprometida em um incidente semelhante na semana passada.
Falha de seguranca torna ataques possiveis
Os detalhes ainda estao surgindo sobre o que exatamente aconteceu em cada caso, mas ha fios comuns que permitiram as invasoes das contas – e existem maneiras de se proteger. Crucialmente, ambas as contas tinham a protecao digital conhecida como **”autenticacao de dois fatores”** desativada no momento das invasoes. Tambem conhecida como 2FA, a defesa requer um codigo numerico rotativo ou um dispositivo fisico, alem das credenciais de login da pessoa, para que tudo nao dependa apenas de um nome de usuario e senha.
Medidas de seguranca para proteger sua conta
As duas incidentes destacam uma lista de passos importantes que voce pode tomar para **proteger sua conta X**. Primeiro, certifique-se de que sua conta esta protegida por uma senha forte e unica. Em seguida, ative a autenticacao de dois fatores para sua conta ou, se voce acha que ja a possui, verifique para confirmar. A mudanca da X para fazer as pessoas pagarem por uma forma basica de autenticacao de dois fatores e problematica. Isso tambem criou confusao porque a empresa incentivou os usuarios gratuitos a abandonarem o SMS de dois fatores, mas entao aparentemente desligou a protecao completamente para aqueles que nao o fizeram. Isso provavelmente deixou um grupo de usuarios em uma situacao em que acham que tem a autenticacao de dois fatores ativada, mas na verdade nao tem.
Para confirmar se voce tem a autenticacao de dois fatores ativada ou para habilita-la pela primeira vez, faca login em sua conta X, va para **Configuracoes e privacidade**, depois **Seguranca e acesso a conta**, **Seguranca**, e entao **Autenticacao de dois fatores**. (Voce tambem pode clicar aqui se ja estiver logado na X). Nessa tela, voce pode escolher entre usar a autenticacao de dois fatores com um aplicativo gerador de codigos ou uma chave de seguranca fisica. Voce tambem pode gerar codigos de backup para a sua conta, para fazer login na X mesmo se perder o acesso ao seu segundo fator.
Protecao contra ataques de troca SIM
Por fim, verifique se nao ha um numero de telefone vinculado a sua conta X que possa ser usado para recuperacao da conta. O Twitter usa numeros de telefone para “verificar” contas de alto perfil e tambem oferece um recurso chamado **”Protecao de senha adicional”**, pelo qual “voce deve fornecer o numero de telefone ou endereco de e-mail associado a sua conta para redefinir sua senha”. Parece que ao ter um numero de telefone associado a sua conta X, a SEC estava se colocando em maior risco, porque os atacantes poderiam tomar controle da conta ao primeiro assumir o numero de telefone associado usando um ataque conhecido como troca SIM.
“Remova seu numero de telefone do Twitter completamente para garantir que voce evite a ameaca de troca SIM com o fluxo de redefinicao de senha por mensagem de texto arriscado do Twitter”, diz Rachel Tobac, uma pesquisadora de compromisso de conta experiente e CEO da SocialProof Security. Ela acrescenta que os usuarios da X devem “ativar a 2FA – recomendo baseada em aplicativo no minimo – e garantir que tenham uma senha forte na conta”.
Embora a X tenha tornado mais complicado habilitar uma seguranca forte da conta, vale a pena aprender com os erros do SEC e da Mandiant.
