Especialista em segurança diz ter acessado Twitter de Donald Trump com senha extremamente fácil

Segundo o especialista, bastaram apenas quatro tentativas até que a senha "maga2020" e ausência de verificação em duas etapas permitissem o acesso

#Segurança Publicado por Vintage Player, em Thu, 22 Oct 2020 20:22:28 -0300 [Full]

O pesquisador, Victor Gevers, teve acesso às mensagens pessoais de Trump, pôde postar tweets em seu nome e alterar seu perfil. Gevers tirou screenshots quando teve acesso à conta de Trump. Essas imagens foram compartilhadas com de Volkskrant pela revista de opinião mensal Vrij Nederland . Especialistas em segurança holandeses consideram a afirmação de Gevers confiável.

O holandês alertou Trump e os serviços do governo americano sobre o vazamento de segurança. Depois de alguns dias, ele foi contatado pelo Serviço Secreto Americano na Holanda. Esta agência também é responsável pela segurança do presidente americano e levou o relatório a sério, como evidenciado por correspondência lida por de Volkskrant. Enquanto isso, a conta de Trump tornou-se mais segura.

Esta não é a primeira vez que hackers holandeses conseguiram assumir o controle da conta de Donald Trump no Twitter. A primeira vez foi há quatro anos, pouco antes das eleições de 2016, quando três hackers conseguiram, em conjunto, recuperar a senha de Trump e acessar sua conta. Que alguém tenha conseguido novamente, é notável. Durante as eleições presidenciais anteriores, os hackers russos tentaram influenciar as eleições em grande escala. Posteriormente, as redes sociais tomaram várias medidas para evitar a manipulação.

Também hoje, apenas três semanas antes das eleições presidenciais, estão sendo feitas tentativas da Rússia e do Irã para influenciar digitalmente as eleições. Obviamente, a conta do presidente no Twitter também é um alvo. O Twitter se recusa a responder oficialmente, afirmando que nunca comenta sobre medidas de segurança para contas individuais. Ronald Prins, fundador da empresa de segurança Hunt & Hackett e um dos mais conhecidos especialistas em segurança holandeses, diz: 'Eu conheço Victor Gevers há alguns anos. Ele tem a reputação de dedicar sua vida a encontrar vulnerabilidades e sempre adota uma atitude muito ética ao fazer isso. Com base no que sei e vi, sua afirmação parece confiável.

Hack de 2016

Victor Gevers também foi um dos três hackers que se conectaram à conta de Trump em 2016. 'Não foi planejado que tivéssemos sucesso fazendo isso de novo tão cedo', diz ele sobre o preparo da ação. O motivo para fazer outra tentativa de hackear a conta de Trump foi a reportagem nos Estados Unidos sobre Hunter Biden. Um disco rígido pertencente ao filho do candidato à presidência Joe Biden foi supostamente roubado ou hackeado - também porque Hunter Biden usou uma senha fácil de adivinhar (Hunter02). Gevers está familiarizado com o vazamento de bancos de dados de senhas antigas e procurou neles os dados de Hunter Biden. Depois de analisar esses bancos de dados antigos, ele sentiu que as informações estavam incorretas. Hunter Biden usou outras senhas. Gevers: 'Percebi que não era a senha dele.'

Isso lhe dá a ideia de verificar o quão boa é a segurança das contas verificadas do Twitter. Ele analisa o relato de Susan Rice, a ex-conselheira de segurança nacional dos Estados Unidos, e o de Joe Biden. E também dá uma olhada em Donald Trump, enquanto ele está nisso. 'Fazer verificações pontuais, esse é o meu trabalho: verificar se há vazamentos na segurança.'

Descobertas anteriores de Gevers incluem um enorme banco de dados chinês com os dados de localização de 2,7 milhões de habitantes de Xinjang - a maior província da China e lar dos uigures. O banco de dados mal protegido continha todos os tipos de dados pessoais: número de identificação das pessoas, nacionalidade, número de telefone, data de nascimento, fotos, empregador, mas também as coordenadas GPS dos lugares que esses indivíduos visitaram. A existência desse banco de dados tornou ainda mais claro o quão meticulosamente a China está monitorando a minoria uigur no país.

Na sexta-feira de manhã, quase distraidamente, Gevers tenta uma série de senhas e suas variações. Na quinta tentativa: bingo! Ele tenta 'maga2020!' (abreviação de make America great again) e de repente se vê na conta do Twitter do presidente americano. Ele está pasmo. Gevers: 'Eu esperava ser bloqueado após quatro tentativas fracassadas. Ou pelo menos seria solicitado a fornecer informações adicionais. ' Nada disso.

Naquela manhã de sexta-feira, Gevers tem acesso ao que talvez seja a conta do Twitter mais importante do mundo e está em condições de enviar uma mensagem a 87 milhões de pessoas, à atenta imprensa mundial e a líderes governamentais. Gevers: 'Eu pensei:' Lá vamos nós de novo '.'

Ilegal

Afinal, hackear uma conta é ilegal. Se Gevers quiser deixar claro que está agindo com boas intenções, ele terá que agir com responsabilidade e documentar seus passos. Ele tira screenshots. Em seguida, ele envia um e-mail para Donald Trump - 'Eu ainda tinha uma conta de e-mail antiga dele' - e envia uma cópia para a organização americana de segurança digital. Ele gentilmente aconselha Trump a tomar medidas extras de segurança. E talvez use uma senha um pouco mais longa. Gevers até sugere um:! IWillMakeAmericaGreatAgain2020! E adiciona instruções para ativar a verificação em duas etapas. - Mas não obtive resposta.

Então, ele tenta alertar os outros. A equipe de campanha de Trump, sua família. Ele envia mensagens pelo Twitter perguntando se alguém chamará a atenção de Trump para o fato de que sua conta no Twitter não é segura. Ele marca a CIA, a Casa Branca, o FBI, o próprio Twitter. Sem resposta.

Gevers: 'Então, no sábado, de repente, vi que a verificação em duas etapas para a conta havia sido ativada.' Dois dias depois, à noite, ele recebe um e-mail do Serviço Secreto Americano. 'Amigáveis. Eles estavam interessados em minhas informações. Eu encaminhei tudo para eles. ' Na terça-feira eles falam digitalmente. Eles agradecem a Gevers, dizendo-lhe que não estavam cientes do vazamento de segurança. Isso ainda deixa o pesquisador de segurança com uma série de perguntas: 'Por que é possível que alguém de um fuso horário diferente faça login em uma conta tão importante? Por que o Twitter não exige senhas melhores? Se eu puder acessar a conta dele, as nações estrangeiras também poderão fazer isso, certo? Por que as pessoas que deveriam proteger o presidente não são informadas quando alguém informa que sua conta não é segura? '

Surpreendentemente fácil

Matthijs Koot, pesquisador de segurança da Secura, também está surpreso com a facilidade com que Gevers assumiu o controle da conta de Trump. 'Para ser mais duro: pessoas que no ano 2020 ainda ignoram os conselhos básicos sobre segurança online são um perigo potencial para si mesmas e para aqueles ao seu redor.'

De acordo com Koot, esses riscos também afetam outras pessoas. “Hoje, estamos cada vez mais interconectados, o que significa que uma invasão da conta ou do computador de um indivíduo também pode prejudicar a privacidade e a segurança de outros. Afinal, por meio da conta de Trump, você também pode ver mensagens privadas enviadas a ele ou encaminhar outros para links contendo malware ou uma página de login falsa. ' Isso levanta a questão de quão responsável é o Twitter quando se trata de medidas de segurança adicionais. Koot: 'Eles deveriam obrigar as pessoas a usar autenticação adicional ou, se as pessoas realmente não querem isso, fazê-las usar uma senha complexa. Os dias de login com apenas uma senha fraca acabaram. '

O Twitter se recusa a responder a perguntas. A questão permanece por que Trump estava usando uma senha tão fraca e simples. Gevers tem uma explicação possível: 'Trump tem mais de 70 anos - os idosos costumam desligar a verificação em duas etapas porque a consideram muito complicada. Minha própria mãe, por exemplo. Para as gerações mais jovens, a segurança digital é mais evidente. '

Fonte: Volkskrant

Tags: