Em 1º de janeiro, um tecnólogo que atende pelo apelido de regexer recebeu um e-mail dizendo que havia redefinido com sucesso sua conta na exchange de criptomoedas Coinbase.
Infelizmente – e preocupante – ele realmente não solicitou uma redefinição de senha. Regexer, que pediu para ser referido por seu apelido online por medo de ser alvo de hackers novamente, rapidamente percebeu que estava sendo hackeado e suas tentativas de fazer login em sua Coinbase para recuperar o controle não tiveram sucesso.
Logo depois, ele percebeu que não tinha serviço de celular. Então, seu aplicativo de dois fatores, Authy, o notificou de que um novo dispositivo foi adicionado à sua conta. Depois que os hackers assumiram o controle do serviço de telefonia celular do regexer, os hackers conseguiram redefinir as senhas de suas contas e interceptar mensagens SMS de dois fatores. Isso permitiu que os hackers assumissem o controle do Authy, dando-lhes a capacidade de usar os códigos 2FA criados pelo aplicativo, de acordo com o regexer.
Isso deu a eles a chance de invadir ainda mais contas pertencentes ao regexer.
“Agora eu não sei o que diabos está acontecendo. Estou totalmente dominado ”, disse regexer ao TechCrunch, relembrando o incidente.
Sem saber o que fazer, regexer começou a alterar as senhas de suas outras contas importantes que aparentemente ainda não haviam sido comprometidas. Então, por capricho, ele ativou e desligou o modo avião em seu iPhone. De alguma forma, depois disso, seu serviço de celular foi restaurado.
Regexer não tem certeza se ativar e desativar o modo avião foi o que interrompeu o ataque, mas está feliz por isso ter acontecido.
Por semanas, regexer não tinha ideia de como havia sido hackeado. Então, na segunda-feira, ele recebeu um e-mail de seu provedor de celular, o Google Fi, informando a ele e a todos os outros clientes que hackers haviam roubado informações de alguns clientes, provavelmente relacionados à recente violação na T-Mobile .
Ao contrário de outros clientes, o e-mail recebido continha informações mais detalhadas sobre o hack que ele sofreu semanas antes.
“Outros dados relacionados à sua conta do Google Fi também podem ter sido acessados sem autorização, como um código postal e o endereço de serviço/emergência associado à sua conta”, dizia o e-mail, que regexer compartilhou com o TechCrunch. “Além disso, em 1º de janeiro de 2023, por cerca de 1 hora e 48 minutos, seu serviço de telefonia móvel foi transferido do seu cartão SIM para outro cartão SIM. Durante o período dessa transferência temporária, o acesso não autorizado pode ter envolvido o uso do seu número de telefone para enviar e receber ligações e mensagens de texto. Apesar da transferência do SIM, seu correio de voz não pôde ser acessado. Restauramos o serviço Google Fi para o seu cartão SIM.”
Regexer disse que conversou com dois representantes de clientes do Google Fi tentando descobrir mais detalhes sobre o que aconteceu, mas nenhum deles lhe disse nada. E, curiosamente, regexer não viu nenhuma evidência de que sua conta do Google, que está vinculada à conta do Google Fi, foi comprometida. Não está claro como os hackers conseguiram realizar a troca do SIM.
O Google não respondeu a um pedido de comentário. E ainda não se sabe se havia outras pessoas, ou quantas, especificamente visadas por hackers da mesma forma que o regxer.
Enquanto o ataque estava em andamento, regexer descobriu que os hackers também haviam invadido sua conta de e-mail do Outlook e, de maneira inteligente, em um esforço para ocultar suas ações, excluíram os e-mails informando sobre a redefinição de senha.
Mesmo que nada mais tenha acontecido desde 1º de janeiro, o regexer ainda está preocupado e está chamando o Google para divulgar mais informações.
“A principal coisa que gostaria de saber é se eu e outras pessoas ainda estamos vulneráveis e se há algo que possamos fazer para nos proteger. Eu adoraria saber mais detalhes sobre os mecanismos que foram usados para a aquisição do número de telefone, porque isso esclarecerá o nível de vulnerabilidade contínua e os métodos de defesa, bem como se o SMS de dois fatores continua sendo melhor do que nenhum de dois fatores de forma alguma. (Posso substituir o SMS para algumas contas online, mas não para todas. Muitos bancos e outros permitem apenas dois fatores via SMS.) Também adoraria saber quantas pessoas tiveram seus números de telefone sequestrados em conexão com a violação e, se fosse um subconjunto pequeno, haveria alguma razão para sermos alvos em particular?”, disse regexer.
“Portanto, a menos que o Google lance mais luz sobre o ataque, há uma grande questão em aberto sobre o quão vulneráveis são os números de telefone das pessoas agora”
Fonte Leia mais: https://techcrunch.com/2023/02/01/google-fi-hack-victim-had-coinbase-2fa-app-hijacked-by-hackers/
