Hackers conseguem roubar contas antes mesmo de cadastro, descobre pesquisa
Estudo da Microsoft descobre cinco métodos de "pré-sequestro de conta"; hackers usam e-mail da vítima e tomam o controle quando ela se cadastra
Estudo da Microsoft descobre cinco métodos de "pré-sequestro de conta"; hackers usam e-mail da vítima e tomam o controle quando ela se cadastra
Ficar preocupado com a segurança das suas contas online é normal. Ficar preocupado com suas contas online que ainda não foram criadas pode parecer estranho, mas não é. Uma pesquisa da Microsoft descobriu ser possível hackear um cadastro antes mesmo de o usuário criá-lo. Dropbox, Instagram, LinkedIn, Wordpress e Zoom são algumas das plataformas vulneráveis a esses ataques.
O chamado account pre-hijacking — algo como “pré-sequestro de conta”, em tradução livre — se aproveita dos muitos vazamentos de e-mails já ocorridos. O responsável pelo ataque pega um destes e-mails e cria uma conta em um site.
Depois, é só esperar o dono do e-mail se cadastrar, ou induzi-lo a isso. Aí, há cinco tipos de ataques que podem ocorrer, dependendo das vulnerabilidades do site.
Os pesquisadores da Microsoft testaram estes métodos de ataque em diferentes sites. Eles descobriram que o ataque de sessão não-expirada é o mais comum.
Entre as plataformas vulneráveis, alguns nomes se destacam, como Dropbox, Instagram, LinkedIn, Wordpress e Zoom. Todas elas foram informadas dos problemas e a maioria consertou as brechas.
E por que esse tipo de falha é tão comum? Para os responsáveis pelo estudo, o principal motivo é querer simplificar ao máximo o cadastro. Isso facilita a vida do cliente e faz as empresas conseguirem mais usuários. Por outro lado, a segurança acaba comprometida.
Para se proteger, as melhores recomendações são ativar a autenticação multi-fatores e usar a opção de encerrar todas as sessões ativas.
Com informações: Microsoft, Bleeping Computer.
Leia | Como proteger o Instagram? 8 dicas para aumentar a segurança da sua conta