A autenticação de dois fatores é geralmente vista como a aposta mais segura para proteger suas contas na internet. Mesmo que alguém roube sua senha, é preciso ter outro código – geralmente enviado por SMS ao seu celular – para obter acesso.

Mas o desenvolvedor Grant Blakeman, cuja conta do Instagram foi hackeada através do Gmail, revela como nem mesmo esse método de autenticação pode vencer todas as ameaças de segurança.

>>> Como ativar a verificação em dois passos em todas as suas contas

Blakeman diz no Ello que hackers obtiveram acesso ao Gmail dele para então roubarem sua conta do Instagram. Mesmo tendo ativado a autenticação de dois fatores, os hackers conseguiram redefinir a senha dele no Google e assumiram o controle.

Como eles fizeram isso? Blakeman diz que o jornalista Mat Honan, da Wiredque foi vítima de uma invasão semelhante – sugeriu que ele entrasse em contato com a operadora de celular dele.

Foi então que ele descobriu: o número de celular dele estava encaminhando ligações e mensagens para outro número. Então os hackers pediram para redefinir a senha, o Google enviou um código de confirmação via SMS, e Blakeman perdeu o acesso à própria conta.

Eu liguei para a operadora, e eles disseram que meu número estava sendo encaminhado, desde sábado de manhã, para outro número que eu não conhecia. Surreal. Então, até onde eu posso dizer, o ataque começou na verdade em minha operadora de celular, o que permitiu algum nível de acesso ou de engenharia social à minha conta do Google, que então permitiu aos hackers receber um e-mail de redefinição de senha do Instagram, dando-lhes controle da conta.

Mas como a operadora deixou outra pessoa redirecionar as ligações e mensagens de Blakeman? Isso é feito através do atendimento telefônico, e requer que a pessoa responda a algumas questões de segurança – mas nos EUA, não é muito difícil contorná-las.

No Hacker News, o comentarista jasonisalive – que diz trabalhar para uma operadora – afirma que os atendentes muitas vezes recebem comissões com base na satisfação do cliente, o que cria “uma tensão constante entre fornecer uma boa experiência ao cliente e proteger a segurança e privacidade”. Afinal, muitas perguntas – seu nome completo, CPF, endereço etc. – podem até proteger sua privacidade, mas são irritantes.

Felizmente, Blakeman tem contatos com pessoas em cargos altos e conseguiu restaurar as contas do Instagram e Google. Ele reativou a verificação em dois passos, mas agora usa o app Google Authenticator para gerar códigos de segurança, em vez de recebê-los via SMS. (O Google também oferece uma chave de segurança USB para essa mesma finalidade.)

No entanto, esta história é uma advertência: a autenticação de dois fatores parece muito melhor que apenas uma senha, mas ainda tem suas falhas. [Ello via Hacker News]