Empresas que adotaram autenticação por SMS no login de contas enfrentam debate sobre responsabilidade por ataques de SIM swap

 (keydiscussions.com)
1 pontos por GN⁺ 2024-02-07 | 1 comentários | Compartilhar no WhatsApp

Responsabilidade das empresas que adotaram login de conta baseado em SMS

  • A razão pela qual os ataques de SIM swap continuam acontecendo é que muitas empresas, como Apple, Dropbox, PayPal, Block e Google, adotaram a má ideia de usar SMS para redefinição de senha e login de conta.
  • Em um ataque de SIM swap, o criminoso pede à operadora que transfira o número de telefone da vítima para o seu próprio aparelho e, com isso, recebe por SMS as informações de login da conta para roubar dinheiro e dados sensíveis.
  • A forma de impedir ataques de SIM swap é simples: as empresas não deveriam permitir login ou redefinição de senha por SMS e, mesmo quando oferecerem 2FA por SMS, deveriam disponibilizar opções mais seguras, como Authy ou Google Authenticator.

Problemas da autenticação baseada em SMS

  • A autenticação por SMS é oferecida como um método geral para proteger os clientes, mas, apesar da conveniência, é frágil em termos de segurança quando comparada a métodos mais seguros, como autenticação por e-mail.
  • Enviar mensagens aos clientes por SMS é como mandar um cartão-postal sem criptografia; como em um ataque de SIM swap, qualquer pessoa pode abrir a caixa de correio e interceptar a mensagem.
  • SMS não é a melhor opção para redefinição de senha, e usar Authy ou e-mail é uma opção melhor de 2FA.

O lado negativo da adoção tecnológica

  • Apple, Google e outras reforçaram o papel do SMS ao introduzir recursos que oferecem suporte à redefinição de senha e ao login de conta por SMS.
  • Provedores de nuvem lucram ao fornecer códigos por SMS, o que, na prática, significa vender como solução segura uma tecnologia fundamentalmente falha.
  • Serviços financeiros como Wells Fargo, Cash App, Robinhood, Schwab, PayPal e Bank of America também oferecem recursos de redefinição por SMS e login de conta.

Equívocos dos clientes

  • Os clientes não compreendem o caráter falho da redefinição por SMS e preferem a conveniência em vez de códigos de login enviados por e-mail ou por aplicativos de 2FA como o Authy.
  • As empresas de tecnologia falharam em proteger os clientes, e espera-se que ações judiciais e legislação mudem esse cenário.

Opinião do GN⁺

  • A autenticação baseada em SMS, apesar da conveniência, tem vulnerabilidades de segurança, e as empresas devem migrar para métodos de autenticação mais seguros.
  • Os ataques de SIM swap continuam ocorrendo apesar de serem um problema evitável, e isso se deve à adoção de tecnologias equivocadas por parte das empresas.
  • O texto transmite uma mensagem importante de que as empresas de tecnologia devem priorizar a segurança dos clientes, abandonar sistemas de autenticação baseados em SMS e adotar métodos mais seguros, oferecendo insights úteis para usuários e profissionais do setor.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-02-07
Opinião do Hacker News

  • Reclamações sobre o incômodo dos códigos de verificação por SMS

    • Antes, o 1Password preenchia automaticamente os códigos TOTP, mas agora, por causa da verificação por SMS, é preciso pagar roaming internacional ou configurar encaminhamento de SMS.
    • Defende-se que apps autenticadores deveriam ser vinculados ao SMS, em vez de fornecer o número de telefone a todas as empresas.
    • Vincular o número de telefone à conta é ruim pelos seguintes motivos: perda/roubo do telefone, mudança de país, ataques via SMS, reutilização de número de telefone e necessidade de manter um plano de telefonia pago.

  • Relato de experiência sobre problemas de SMS da Payoneer

    • Houve um problema com a autenticação por SMS da Payoneer para usuários da Movistar na Argentina, mas isso não recebeu atenção no Hacker News.
    • Um invasor hackeou o gateway de SMS que enviava 2FA para clientes da Movistar, descobriu os e-mails de usuários da Payoneer, alterou as senhas e transferiu dinheiro.
    • Facebook, Twitter e outros também usam o mesmo gateway de SMS para reduzir custos, portanto é preciso cautela.

  • Problema de login ao perder o número de telefone

    • Se a pessoa perder o número de telefone, pode acabar sem conseguir fazer login na conta do Google.

  • Comparação entre a inconveniência do SMS e a praticidade do TOTP

    • A verificação por SMS exige procurar o telefone, enquanto o TOTP é mais prático porque os códigos podem ser armazenados no KeePassXC.

  • Opinião favorável sobre a experiência do usuário (UX) da autenticação por SMS

    • Login e recuperação de conta por SMS oferecem uma boa experiência do usuário, e as operadoras deveriam reforçar a segurança.

  • Reclamações sobre restrições ao uso de números do Google Voice

    • Algumas empresas dizem que números do Google Voice não podem ser usados para verificação ou os tratam como números inválidos.

  • Necessidade da autenticação por SMS e o papel das operadoras

    • Exigir que usuários comuns instalem um app é um grande fardo, e o SMS é a única solução realmente prática para o público em geral.
    • Defende-se que o SIM swapping deveria ser mais difícil.

  • Objetivo da autenticação por SMS e a posição das empresas

    • A autenticação por SMS é eficaz para dois objetivos: provar a posse da conta e limitar a criação de contas por usuários não legítimos.
    • As empresas terceirizam para as operadoras o processo de KYC (Know Your Customer), em vez de oferecer a melhor solução de segurança.

  • Críticas à autenticação por SMS e a questão de transferir a responsabilidade para os criminosos

    • Os críticos culpam as empresas que usam autenticação por SMS, mas na prática os responsáveis deveriam ser os criminosos.
    • A responsabilidade pelos ataques de SIM swapping é dos criminosos.