Brecha na SEC e Comprometimento do Twitter
Esta semana, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) sofreu uma falha embaraçosa e impactante no mercado, em que um hacker acessou sua conta de mídia social X e publicou informações falsas sobre um anúncio altamente antecipado pela SEC relacionado ao bitcoin. A agência recuperou o controle de sua conta e apagou a postagem em menos de uma hora, mas a situação é preocupante, especialmente considerando que a empresa de segurança proeminente e respeitada Mandiant, que é propriedade do Google, teve sua conta X comprometida em um incidente semelhante na semana passada.
Proteção de Contas e Autenticação em Duas Etapas
Detalhes ainda estão surgindo sobre exatamente o que aconteceu em cada caso, mas existem fios comuns que tornaram os ataques possíveis – e há formas de se proteger. Ambas as contas tinham a proteção digital conhecida como “autenticação em duas etapas” desativada no momento dos ataques. Conhecida como 2FA, essa defesa exige um código numérico rotativo ou um dispositivo físico, além das credenciais de login da pessoa, para que tudo não dependa apenas de um nome de usuário e senha.
Medidas de Segurança para Proteger sua Conta
Os incidentes destacam uma lista das etapas mais importantes que você pode seguir para proteger sua conta do Twitter. Primeiramente, assegure-se de que sua conta esteja protegida por uma senha forte e única. Em segundo lugar, ative a autenticação em duas etapas para sua conta ou, se acredita já tê-la ativada, verifique para ter certeza. A decisão do Twitter de fazer as pessoas pagarem por uma forma básica de autenticação em duas etapas é problemática.
Verificação e Ativação da Autenticação em Duas Etapas
Para confirmar se você tem a autenticação em duas etapas ativada, ou para ativá-la pela primeira vez, faça login em sua conta do Twitter, vá para Configurações e privacidade, então Segurança e acesso à conta, Segurança, e então Autenticação em duas etapas. Nessa tela, você pode optar por usar a autenticação em duas etapas com um aplicativo gerador de códigos ou uma chave de segurança física. Você também pode gerar códigos de backup para sua conta entrar no Twitter mesmo se perder o acesso ao seu segundo fator.
Evitando Ameaças Como o SIM-Swap
Parece que, ao ter um número de telefone associado à sua conta do Twitter, a SEC estava se colocando em maior risco, pois os atacantes poderiam assumir o controle da conta ao primeiro assumir o número de telefone associado usando um ataque conhecido como SIM-swap.
“Remova seu número de telefone do Twitter completamente para garantir que você evite a ameaça do SIM-swap com o fluxo de redefinição de senha baseado em mensagens de texto arriscadas do Twitter”, diz Rachel Tobac, uma pesquisadora experiente em comprometimento de contas e CEO da SocialProof Security. Ela adiciona que os usuários do Twitter devem “ativar a autenticação em duas etapas – recomendo pelo menos baseada em aplicativo – e garantir que tenham uma senha forte na conta.”
Embora o Twitter tenha tornado mais complicado habilitar uma segurança de conta forte, vale a pena aprender com os erros da SEC e da Mandiant.
