Esta semana, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) sofreu uma violação constrangedora e impactante no mercado, na qual um hacker teve acesso à sua conta de mídia social X e publicou informações falsas sobre um anúncio altamente antecipado da SEC relacionado ao bitcoin. A agência recuperou o controle de sua conta e excluiu a postagem em menos de uma hora, mas a situação é preocupante, especialmente considerando que a proeminente e respeitada empresa de segurança Mandiant, que é de propriedade do Google, teve sua conta X comprometida em um incidente semelhante na semana passada.
Os detalhes ainda estão surgindo sobre o que exatamente aconteceu em cada caso, mas há elementos comuns que tornaram possíveis a tomada de controle das contas – e há maneiras de se proteger.
De forma crucial, ambas as contas tinham a proteção digital conhecida como “autenticação de dois fatores” desativada no momento das tomadas de controle. Também conhecida como 2FA, essa defesa requer um código numérico rotativo ou um token físico, além das credenciais de login da pessoa, para que tudo não dependa apenas de um nome de usuário e senha. A SEC ainda não disse se desativou o dois fatores acidentalmente como resultado da mudança de política da X em fevereiro de 2023, que fez com que apenas contas pagantes de uma assinatura Blue tivessem acesso a códigos de dois fatores enviados por mensagem de texto. A Mandiant sugeriu na quarta-feira que essa mudança foi o motivo de não ter ativado essa proteção para sua conta X, afirmando: “Normalmente, o 2FA teria mitigado isso, mas devido a algumas transições de equipe e a uma mudança na política de 2FA da X, não estávamos adequadamente protegidos”.
A Mandiant disse que os hackers conseguiram adivinhar a senha que protegia sua conta X em um ataque de força bruta. A X em si disse na terça-feira que a invasão da conta da SEC foi resultado de “um indivíduo não identificado obtendo controle sobre um número de telefone associado à conta @SECGov por meio de terceiros”.
Os dois incidentes descrevem uma lista de verificação das etapas mais importantes que você pode tomar para proteger sua conta da X. Primeiramente, certifique-se de que sua conta esteja protegida por uma senha forte e única. Em seguida, ative dois fatores para sua conta ou, se acha que já o fez, verifique para ter certeza. A mudança da X para fazer as pessoas pagarem por uma forma básica de dois fatores é problemática. Ela também criou confusão porque a empresa incentivou os usuários gratuitos a abandonar o dois fatores via SMS, mas depois simplesmente desativou a proteção para aqueles que não o fizeram. Isso provavelmente deixou um grupo de usuários em uma situação onde pensavam que tinham a autenticação de dois fatores ativada, mas na verdade não tinham.
Para confirmar se você tem dois fatores ativado, ou para ativá-lo pela primeira vez, faça login em sua conta da X, vá para Configurações e privacidade, depois Segurança e acesso à conta, Segurança e, em seguida, Autenticação de dois fatores. (Também é possível clicar aqui se já estiver logado na X). Nessa tela, você pode escolher entre usar a autenticação de dois fatores com um aplicativo gerador de código ou uma chave de segurança física. Você também pode gerar códigos de backup para sua conta para fazer login na X mesmo se perder o acesso ao seu segundo fator.
Por fim, verifique se não há um número de telefone vinculado à sua conta da X que possa ser usado para recuperação de conta. O Twitter usa números de telefone para “verificar” contas de alto perfil e também oferece um recurso chamado “Proteção adicional por senha”, no qual “você deve fornecer o número de telefone ou o endereço de e-mail associado à sua conta para redefinir sua senha”. Parece, porém, que ao ter um número de telefone associado à sua conta da X, a SEC estava se colocando em maior risco, porque os invasores poderiam obter controle da conta tomando primeiro o número de telefone associado usando um ataque conhecido como troca de SIM.
“Remova seu número de telefone do Twitter para garantir que evite a ameaça de troca de SIM com o fluxo de reset de senha arriscado baseado em mensagens de texto do Twitter”, diz Rachel Tobac, pesquisadora de violações de conta de longa data e CEO da SocialProof Security. Ela acrescenta que os usuários da X devem “ativar o 2FA – recomendo pelo menos o de aplicativo – e garantir que tenham uma senha forte na conta.”
Apesar de ter ficado mais complicado habilitar uma segurança de conta forte, vale a pena aprender com os erros da SEC e da Mandiant.
