0
0
A decisão repentina do Twitter de desabilitar a autenticação de dois fatores (2FA) baseada em SMS para todos os usuários, exceto assinantes de seu serviço pago Twitter Blue, enfureceu os especialistas em segurança e manchou ainda mais a já duvidosa reputação do gigante da mídia social em proteger os usuários de seus serviços.
O Twitter, em 15 de fevereiro, anunciou que em 30 dias desabilitaria o 2FA baseado em mensagem de texto – ou baseado em SMS – para todos, exceto os assinantes pagantes do Twitter Blue. “Depois de 20 de março de 2023, não permitiremos mais que assinantes que não sejam do Twitter Blue usem mensagens de texto como um método 2FA”, disse a empresa. “Naquele momento, as contas com 2FA de mensagem de texto ainda habilitadas o terão desabilitado.”
Vários analistas veem o movimento como proteções mal concebidas e enfraquecedoras para os milhões de usuários que atualmente usam a opção de dois fatores ao acessar suas contas do Twitter. Mesmo aqueles que concordam com a opinião do Twitter sobre os mecanismos de autenticação baseados em mensagens de texto serem um tanto suscetíveis a ataques ainda o percebem como oferecendo muito mais proteção do que não ter um segundo fator.
A jogada mal concebida do Twitter
“A ótica é certamente ruim”, diz Richard Stiennon, analista-chefe de pesquisa da IT-Harvest. “Essa mudança parece colocar um preço em uma melhor segurança para o Twitter, que é o garoto-propaganda de ataques de controle de contas que remontam a 2008, quando um script kiddie na Califórnia executou John, o Estripador, contra contas de celebridades para adivinhar suas senhas”.
A empresa instou os usuários que ainda desejam habilitar o 2FA para suas contas do Twitter a considerar o uso de um aplicativo de autenticação ou chave/token de segurança como segundo fator. Aplicativos de autenticação são aplicativos móveis que geram uma senha única ou chave que os usuários podem usar além de sua senha ao acessar uma conta na qual ativaram a autenticação de dois fatores. Os exemplos incluem Google Authenticator, Microsoft Authenticator e LastPass Authenticator.
As chaves de segurança geralmente são um dispositivo físico – como um dongle USB – que os usuários podem usar para verificar sua identidade ao fazer login em uma conta. “Esses métodos exigem que você tenha posse física do método de autenticação e são uma ótima maneira de garantir que sua conta esteja segura”, disse o Twitter.
“Usar um aplicativo autenticador é melhor [do que 2FA baseado em texto]”, observa Steinnon, “ mas nunca haverá um grande número de usuários, a menos que o Twitter torne esse aplicativo um requisito e o disponibilize gratuitamente”.
Levantando questões sobre 2FA baseado em texto
A breve declaração da empresa de mídia social anunciando sua decisão de interromper a autenticação por SMS aludiu a preocupações com a segurança do processo como a principal motivação: “Embora historicamente seja uma forma popular de 2FA, infelizmente vimos o 2FA baseado em número de telefone ser usado – e abusado – por maus atores.”
O uso generalizado de dispositivos móveis para autenticação 2FA baseada em SMS, por exemplo, gerou um aumento nos chamados ataques de troca de SIM , em que um agente de ameaça transfere o número de telefone de outro indivíduo para seu cartão SIM para que ele possa interceptar as mensagens de autenticação SMS usadas para 2FA. As preocupações com os pontos fracos nas redes móveis, permitindo que os invasores interceptem mensagens SMS e as usem para invadir contas protegidas por 2FA, persistem há anos , assim como as chamadas para substituí-lo por tokens mais fortes e geradores de tokens baseados em aplicativos.
No entanto, Stiennon e outros descartam essa explicação por não ser motivo suficiente para desabilitar a opção para quem quiser usá-la. “Para ataques altamente direcionados, é verdade que o SMS pode ser interceptado por invasores determinados”, diz ele, observando que tais ataques são raros.
Uma tentativa de aumentar a receita?
John Pescatore, diretor de tendências emergentes de segurança no SANS Institute, diz que a ação do Twitter é um pouco semelhante a um banco insistindo que os usuários de uma conta corrente gratuita insiram apenas seu PIN – e não o cartão do caixa eletrônico também – para usar um caixa eletrônico. “Embora as mensagens SMS como 2FA sejam menos seguras do que tokens, aplicativos confiáveis ou outras formas resistentes a phishing, ainda são muito mais seguras do que senhas reutilizáveis”, diz ele.
“A única justificativa para o que eles estão fazendo é uma tentativa de aumentar a receita”, disse Pesactores à Dark Reading. Caso contrário, por que eles permitiriam que uma autenticação supostamente menos segura estivesse disponível apenas para seus assinantes pagos, aponta ele.
Um relatório de transparência divulgado pelo Twitter em dezembro de 2021 mostrou na época que cerca de 2,4% das contas ativas do Twitter habilitaram o 2FA. Desse total, 74,4% usaram autenticação por SMS, 28,9% usaram um aplicativo de autenticação e 0,5% tinham uma chave de segurança. Com base nesses números (os mais recentes), apenas uma proporção relativamente pequena das contas ativas do Twitter pareceria diretamente impactada pela recente decisão do Twitter – embora, é claro, a adoção possa ter aumentado desde 2021. Ainda assim, alguns veem isso como outra indicação do que eles percebem como uma atitude descuidada do Twitter em relação à segurança do usuário. Afinal, no início deste ano, um aparente comprometimento do endpoint da API no Twitter permitiu que um invasor roubasse dados de cerca de 200 milhões de usuários do Twitter e os colocasse à venda em um fórum clandestino.
“O Twitter tem um histórico consistentemente ruim em relação à segurança”, observa Pescatore. No ano passado, por exemplo, a Federal Trade Commission avaliou uma multa civil de US$ 150 milhões pela empresa não tomar as medidas exigidas para corrigir problemas que causaram violações de privacidade que datam de anos atrás, diz ele. Essas violações tiveram a ver com o Twitter usando números de telefone e endereços de e-mail que ele coleta para 2FA para entregar publicidade direcionada.
“Sob nova propriedade, este ano eles primeiro tentaram aumentar a receita dando status de identidade verificada a qualquer um disposto a pagar US$ 8”, acrescenta Pescatore.
Vindo sob o microscópio
Como se os desafios de segurança da empresa não fossem ruins o suficiente, a controversa liderança de Elon Musk no Twitter também colocou cada movimento da empresa sob o microscópio.
“Como acontece com o Twitter hoje em dia, o contexto mais amplo de suas decisões atrai muita controvérsia de todo o espectro político”, diz Fernando Montenegro, analista da Omdia.
Com o movimento mais recente, há um entendimento geral de que o SMS 2FA é menos resistente a alguns ataques do que os aplicativos autenticadores ou chaves de segurança. Portanto, fazer com que os usuários avancem para uma MFA “melhor” é uma coisa boa para melhorar potencialmente a resiliência contra esses ataques, acrescenta ele. “Também é uma decisão que economiza dinheiro do Twitter, pois eles não enviarão mais mensagens SMS MFA para contas que não são assinantes”, diz Montenegro.
A questão-chave aqui é se as pessoas usam o SMS porque é mais fácil configurá-lo ou apenas porque não conhecem as alternativas, aponta ele. “Se o primeiro e o Twitter não tornarem o processo mais fácil, é provável que a segurança seja prejudicada. Se for o último, a decisão deles pode realmente resultar em mais pessoas conhecendo outras opções de MFA e ativando-as.”
FONTE: DARK READING