Aquisição acidental de conta Airbnb vinculada a números de telefones reciclados
É uma falha que pode resultar em roubo de conta, roubo de cartão de crédito e vazamento de privacidade, e ainda assim não foi corrigida por anos em certos sites e aplicativos online.
O cenário funciona assim: O proprietário de um dispositivo móvel tenta registrar uma conta em um site ou aplicativo da web, usando um número de telefone que foi recentemente atribuído a ele por uma operadora de telecomunicações. Mas esse número de telefone pertencia anteriormente a um proprietário de telefone diferente que também se inscreveu no mesmo serviço da web. Em vez de criar uma nova conta, o novo proprietário do dispositivo é conectado à conta do proprietário original do número de telefone.
“É provavelmente uma das vulnerabilidades mais antigas com relação a números de telefone celular … e identidade”, disse Marc Rogers, diretor executivo de segurança cibernética da Okta.
É quase como se o novo proprietário do dispositivo tivesse cometido um golpe de troca de SIM – só que não havia intenção de enganar. Ninguém enganou a operadora sem fio para reatribuir o número de telefone da vítima a outro dispositivo. Aconteceu por acaso.
Ainda assim, uma pessoa menos ética pode tirar vantagem da situação examinando a conta online do estranho em busca de informações de cartão de pagamento ou detalhes pessoais. Isso é o que compeliu um cidadão preocupado a entrar em contato com a SC Media na semana passada, depois que seu marido encontrou essa mesma falha ao registrar uma conta no mercado de aluguel por temporada online Airbnb.
“Quando fomos ao site do Airbnb para nos inscrever, o site nos deu algumas opções para nos registrarmos como um novo usuário. A primeira opção da lista é por telefone ”, relatou a informante, que deseja manter o anonimato. “Então, fomos em frente e digitamos o número de telefone do meu marido – que ele obteve em maio passado, não muito tempo atrás.”
Em seguida, seu marido recebeu um código de verificação de quatro dígitos para entrar no site e “bum! Estávamos logados na conta de outro usuário ”, disse ela.
Essa conta pertence a um estranho cujas informações válidas de cartão de crédito, endereço de e-mail, número de telefone e outros detalhes pessoais estavam todos acessíveis para o informante e seu marido – aparentemente tudo porque o estranho já possuía o número de telefone do marido.
Quando a SC Media entrou em contato com a Airbnb na sexta-feira passada sobre a reclamação, um porta-voz disse que a empresa resolveria o problema e na terça-feira fez uma declaração: “Desenvolvemos uma resolução para o problema relatado envolvendo números de telefone reciclados e novas inscrições de conta, o que felizmente afetou apenas um pequeno número de nossos usuários. Estamos constantemente avaliando e melhorando nossas proteções e temos o compromisso de fortalecer os controles de segurança de nossa plataforma. ”
Mas o informante discordou e disse que o problema não foi resolvido. Ela disse que determinou isso não fazendo login na conta do estranho novamente, mas tentando se inscrever em uma nova conta do Airbnb usando seu próprio número de telefone (não o de seu marido), embora ela já tivesse uma conta registrada com esse número. Em vez de criar uma nova conta, ela estava logada em sua própria conta anteriormente existente, ela disse à SC Media.
Além disso, ela disse que nunca recebeu nenhum alerta do Airbnb notificando-a dessa atividade anômala de login da conta – e, portanto, concluiu que o estranho cuja conta foi acidentalmente sequestrada provavelmente também nunca recebeu.
O informante enviou à SC Media várias capturas de tela do site do Airbnb como evidência dessa invasão acidental da conta, bem como imagens de sua atividade de bate-papo com o suporte online do Airbnb. A certa altura, o membro da equipe de suporte diz ao informante que a única maneira de o marido criar sua própria conta é registrando-se com um número de telefone diferente, aparentemente porque seu próprio número ainda estava associado à conta do estranho.
Acontece que sites e aplicativos enfrentam esse problema comum há anos.
“Os números de telefone são reciclados com mais frequência do que antes, especialmente com a explosão de novos dispositivos que exigem cartões SIM”, explicou Rogers.
As empresas de telecomunicações tentam evitar problemas associados à reciclagem de números reprovados retirando esses números de serviço por um período de tempo antes de reciclá-los. (O FCC exige um mínimo de 90 dias.) No entanto, isso não é uma panacéia e, portanto, é aconselhável que os desenvolvedores de sites e aplicativos da web – junto com os proprietários de contas da web – sigam as práticas recomendadas para ajudar a aliviar o problema.
Muitos não, entretanto. Na verdade, o serviço de mensagens WhatsApp também teve o mesmo problema de registrar pessoas com números de telefone reciclados nas contas de outras pessoas.
Em certos casos, os operadores de sites ou aplicativos podem violar o GDPR ou os padrões de segurança de dados da indústria de cartões de pagamento se as informações dos usuários forem expostas, disse Rogers.
Melhores práticas para desenvolvedores, usuários
Para começar, os desenvolvedores da web e de aplicativos devem congelar as contas após um período de inatividade. Dessa forma, inserir um número de telefone reutilizado meses depois que uma conta fica inativa não pode simplesmente revivê-la automaticamente.
“A prática recomendada determina que, se você tiver uma conta de usuário silenciada por mais do que um determinado período de tempo – especialmente uma conta associada a detalhes de pagamento – você deve bloqueá-la”, disse Rogers, “porque o usuário foi embora”.
“No mínimo, se o usuário parecer voltar, force-o a passar por um processo de novo registro para provar que é a mesma pessoa”, continuou Rogers. “Mas isso não está acontecendo em alguns casos, e existem alguns aplicativos de alto perfil que se prendem às informações dos usuários, quase indefinidamente.”
No caso apresentado pelo informante, não está claro se o estranho cuja conta foi acidentalmente acessada ainda está usando ativamente sua conta do Airbnb, apesar de não usar mais o número de telefone com o qual ela a registrou originalmente. Se ela estiver usando ativamente sua conta, a sugestão de Rogers para que o Airbnb bloqueie contas inativas não teria evitado por si só a aquisição acidental da conta.
Ainda assim, há mais coisas que até empresas como a Airbnb podem fazer. Ou seja, eles podem adicionar um segundo fator de autenticação ao se registrar ou registrar novamente para um serviço da web online. “Ele deve solicitar informações adicionais, especialmente ao visualizar coisas como sistemas de pagamentos financeiros”, disse Rogers. A prova simples de que você possui fisicamente o telefone não é suficiente na situação apresentada pelo informante: “Bem, é claro que você está com o telefone”, disse Rogers. Afinal, o número de telefone foi atribuído a você.
Os alertas proativos de login que informam os titulares de contas quando ocorre uma nova atividade de login anômala também podem ser uma medida de segurança útil para alertar sobre possíveis invasões de conta antes que qualquer dano seja causado.
Um exemplo de empresa que segue as melhores práticas, disse Rogers, é o aplicativo de mensagens Signal. Se os usuários do Signal trocam de telefone ou mudam de número em um telefone, eles começam com um histórico de mensagens vazio quando reinstalam o aplicativo.
Também há um ônus para os proprietários de contas individuais alterarem os detalhes de suas contas online ou até mesmo desativar suas contas se planejarem descartar ou trocar de número de telefone, disse Rogers. Esta também é uma lição potencialmente importante para as empresas, que às vezes fornecem e reprovisionam dispositivos móveis de propriedade da empresa para vários funcionários que podem usar esses dispositivos para se registrar para contas online.
“O mesmo problema existe com telefones celulares que você compra de segunda mão no eBay”, disse Rogers, observando que ele “pegou telefones de segunda mão e encontrou informações confidenciais de usuário neles, até mesmo IDs de sessão válidos de contas importantes”.
Um melhor atendimento ao cliente por parte do Airbnb também poderia ter ajudado o informante, que estava frustrado por vários mal-entendidos enquanto falava com um agente de suporte ao cliente. A certa altura, o representante pensou erroneamente que o informante estava perguntando se ela poderia concluir uma reserva de terceiros. Mais tarde, o representante se dirigiu incorretamente ao informante com o nome errado, usando o nome do estranho cuja conta foi acidentalmente sequestrada.
Embora Rogers não tenha ficado surpreso ao saber desse problema, ele expressou perplexidade quanto ao motivo pelo qual os desenvolvedores continuam a lutar com essa vulnerabilidade.
“Conhecemos esse problema há pelo menos 20 anos. E há muitos aplicativos por aí que projetam com segurança para garantir que seus aplicativos tenham privacidade por design ”, disse Rogers. “Então, eu diria que não há desculpa para os aplicativos que não fazem isso.”
Fonte: https://www.scmagazine.com/home/security-news/vulnerabilities/accidental-airbnb-account-takeover-linked-to-recycled-phone-numbers/
Imagem: (Kurt Krieger / Corbis via Getty Images)