O que poderia ter impedido o hack 23andMe?

Veja como o hack do 23andMe aconteceu e como diferentes soluções de controle de acesso de login poderiam tê-lo impedido.

Em 10 de outubro de 2023, 23andMe anunciou que malfeitores haviam roubado os dados pessoais, genéticos e étnicos de milhões de usuários . Ainda mais chocante, os hackers estavam vendendo esses dados – incluindo nomes, fotos, locais e informações de ancestralidade genética dos usuários do 23andMe – na dark web, potencialmente expondo as vítimas a serem alvos com base em sua etnia.

Este artigo analisa como o hack do 23andMe aconteceu e, o mais importante, como várias tecnologias de controle de acesso de login poderiam ter ajudado o 23andMe a evitar que esse hack acontecesse.

Como os hackers invadiram o 23andMe?

Os hackers 23andMe usaram “credential stuffing”, uma exploração que se baseia no fato de que a maioria das pessoas usa as mesmas combinações de nome de usuário/senha em sites diferentes. Basicamente, os hackers pegam uma lista de combinações de nome de usuário/senha de outro site que foi hackeado e as testam no site que desejam atingir.

Um bom exemplo disso é o Banco de dados RockYou2021 . Este é um arquivo da dark web disponível publicamente com 8,4 bilhões de credenciais roubadas de diferentes sites. Provavelmente, você tem algumas credenciais comprometidas nesta lista ou em outra, por isso é tão importante usar uma senha exclusiva em cada site.

De acordo com o Washington Post , “Postagens online oferecendo os dados para venda em fóruns clandestinos diziam que os compradores poderiam adquirir 100 perfis por US$ 1.000 ou até 100.000 por US$ 100.000.” A violação impactou aproximadamente 14 milhões de contas.

Por que o 23andMe era vulnerável ao preenchimento de credenciais?

De acordo com o TechCrunch :

“A 23andMe culpou seus clientes pelo incidente pela reutilização de senhas e por um recurso opcional chamado DNA Relatives , que permite aos usuários ver os dados de outros usuários optados cujos dados genéticos correspondem aos seus. Se um usuário tivesse esse recurso ativado, em teoria, permitiria que hackers coletassem dados de mais de um usuário, invadindo a conta de um único usuário.”

Se você é culpado de reutilizar senhas (a maioria de nós é), então você está vulnerável a esse tipo de hack. Mas culpar o cliente por práticas incorretas de senha não é justo. Contas 23andMe com senhas fortes também eram vulneráveis. Devido à forma como o programa “DNA Relatives” conectou os dados dos usuários, as contas com senhas fracas expuseram aquelas com senhas fortes.

Em última análise, confiar que os usuários adotem boas práticas de senha é uma estratégia perdida quando se trata de controle de acesso. De acordo com estatísticas recentes:

• 13% das pessoas reutilizam a mesma senha em todas as contas ( Estudo do Google de 2019 )
• 52% usam o mesmo para várias contas ( Estudo do Google de 2019 )
• Apenas 35% (os responsáveis) usam uma senha diferente para cada conta ( Estudo do Google de 2019 )
• 81% das violações confirmadas em 2022 foram devidas a senhas fracas, reutilizadas ou roubadas ( Relatório LastPass )

Tendo em conta estas estatísticas, é fácil concluir que os gestores de websites não pode conte com os usuários para desenvolver boas práticas de senha. Isso coloca uma responsabilidade clara sobre os proprietários de sites para implementar melhores medidas de login/acesso.

E quanto aos gerenciadores de senhas como o 1Password?

Os gerenciadores de senhas oferecem uma ótima solução para criar e controlar senhas exclusivas. A maioria dos navegadores inclui um gerenciador de senhas gratuito e existem serviços pagos como 1password . Mas você não pode forçar todos os clientes a usar um gerenciador de senhas. Em plataformas de mídia social e sites como o 23andMe – onde os clientes se conectam e compartilham automaticamente informações pessoais – os usuários que não adotarem boas práticas de senha colocarão em risco aqueles que o fizerem.

Além disso, os gerenciadores de senhas não são infalíveis. Se um hacker capturar a senha mestra, ele obterá TUDO. Os ataques de phishing – onde você clica em um link malicioso e expõe suas credenciais – também são um problema. Siamak Shahandashti, do Departamento de Ciência da Computação da Universidade de York , destacou essas vulnerabilidades na seguinte declaração:

“Vulnerabilidades em gerenciadores de senhas oferecem oportunidades para hackers extrair credenciais, comprometendo informações comerciais ou violando informações de funcionários. Como eles são guardiões de muitas informações confidenciais, a análise rigorosa da segurança dos gerenciadores de senhas é crucial.

“Nosso estudo mostra que um ataque de phishing de um aplicativo malicioso é altamente viável – se uma vítima for enganada para instalar um aplicativo malicioso, ele poderá se apresentar como uma opção legítima no prompt de preenchimento automático e terá grandes chances de sucesso.”

Em última análise, os gerenciadores de senhas são melhores do que nada – e podem ajudá-lo a ficar mais seguro , mas mesmo os usuários com gerenciadores de senhas ficaram vulneráveis no ataque 23andMe devido à forma como as contas dos usuários se interconectavam e compartilhavam informações pessoais. Algo mais precisa ser feito para proteger o acesso às contas pelos próprios sites.

E quanto à autenticação multifator (MFA)?

Para aumentar a segurança de login, muitos sites usam autenticação multifator (MFA). Existem muitos tipos de MFA, e as soluções mais populares envolvem o envio de uma senha temporária de 2 fatores (2FA) por mensagem de texto ou e-mail, forçando os usuários a realizar uma etapa adicional, porém tediosa, de autenticação.

23andMe não ofereceu MFA aos seus usuários. Mas mesmo que tivessem, as soluções de MFA baseadas em mensagens de texto e e-mail não são tão seguras como costumavam ser. Na maioria dos casos, o email é protegido apenas por uma senha. Além disso, é relativamente comum que hackers obtenham o controle de um smartphone por meio da troca de SIM. Na verdade, foi isso que aconteceu no recente hackeamento da conta da SEC no Twitter :

Os pesquisadores também concordam que o MFA baseado em mensagens de texto está cada vez mais vulnerável a hacks. De acordo com a empresa de segurança cibernética Proofpoint :

“Ao contrário do que se poderia prever, houve um aumento nas aquisições de contas entre inquilinos que possuem proteção MFA (autenticação multifator)”, disseram pesquisadores da empresa de segurança Proofpoint em um relatório. “Com base em nossos dados, pelo menos 35% de todos os usuários comprometidos durante o ano passado tinham a MFA habilitada.”

Devido a essas vulnerabilidades, as empresas como a Microsoft agora alertam contra o uso de estratégias de dois fatores que utilizam autenticação de mensagens de voz ou de texto. De acordo com Alex Weinert , diretor de segurança de identidade da Microsoft:

“Esses mecanismos [estratégias 2FA baseadas em mensagens de texto] são baseados em redes telefônicas comutadas publicamente (PSTN) e acredito que sejam os menos seguros dos métodos de MFA disponíveis atualmente. Essa lacuna só aumentará à medida que a adoção da MFA aumentar o interesse dos atacantes em quebrar estes métodos […] Vale a pena repetir, no entanto, que a MFA é essencial – estamos a discutir qual o método de MFA a utilizar, e não se devemos usar a MFA. ”

E quanto às chaves de segurança física como YubiKey?

Chaves de segurança física – como o Yubikey da Yubico – são pequenos dispositivos que você conecta ao seu telefone ou computador. Isso adiciona um “fator” físico adicional ao processo de autenticação multifator. Muitas empresas, como o Google, exigem que os funcionários usem Yubikeys ao fazer login em suas contas de trabalho. Se um usuário não conectar a chave, ele não poderá obter acesso.

As chaves de segurança física adicionam uma poderosa camada de segurança. No entanto, quanto maior se torna uma organização, mais caras se tornam essas estratégias. Custando entre US$ 50 e US$ 105 por chave, fornecer Yubikeys para cada funcionário de uma grande organização é caro. Além disso, os atrasos e dificuldades de gerenciamento no envio e substituição de chaves criam um fardo significativo.

Então você tem sites públicos – como o 23andMe – com milhões de usuários. Exigir que cada usuário de um site público ou plataforma de mídia social compre um dispositivo de hardware de US$ 50 está fora de questão.

E quanto a soluções de segurança abrangentes como o Cisco Duo?

O Cisco Duo e outros serviços de segurança abrangentes oferecem autenticação de dois fatores (2FA) de alta qualidade e outras ferramentas de autenticação para aprimorar a segurança de login muito além das senhas. Os usuários confirmam o acesso por meio de etapas adicionais, como chamadas telefônicas, notificações push e chaves de segurança física.

Serviços de segurança abrangentes como o Duo são ideais para empresas com bases de usuários controladas. No entanto, escalá-los para funcionarem para milhões de usuários em um site como o 23andMe ou o Facebook não seria prático do ponto de vista dos custos.

Aqui está o porquê:

• Dimensionamento de custos: serviços de segurança abrangentes, como o Duo, cobram por usuário. Cobrar por milhões de contas não seria prático do ponto de vista comercial.
• Atrito do usuário: a autenticação em várias etapas do Duo pode dissuadir alguns usuários, especialmente aqueles que não estão familiarizados com 2FA.
• Complexidade operacional: o gerenciamento de milhões de contas Duo requer infraestrutura e recursos dedicados.

Que tal uma solução de aplicativo autenticador como o Google Authenticator?

Obrigar uma solução 2FA como o Google Authenticator poderia ter sido uma forma acessível de proteger os usuários do 23andMe. No entanto, é importante observar que o Google Authenticator vem com algumas vulnerabilidades importantes:

• Ataques de phishing: os invasores podem criar páginas de login falsas e convincentes que roubam nomes de usuário, senhas e códigos de uso único, permitindo que hackers acessem uma conta remotamente.
• Engenharia social: táticas enganosas podem persuadir os usuários a compartilhar seus códigos únicos ou baixar malware que os exponha.
• Vulnerabilidade de backup em nuvem: muitos usuários têm backups baseados em nuvem que salvam suas chaves de autenticador. Ao comprometer uma conta de armazenamento em nuvem, os hackers podem acessar os dados do autenticador.
• Fricção do usuário : o Google Authentator exige que os usuários baixem um aplicativo adicional e insiram uma chave de segurança. Então, cada vez que fizerem login no aplicativo, eles precisarão transferir uma senha temporária do aplicativo para o site, adicionando uma quantidade considerável de complicações e atritos ao processo de login.
• Interceptação da chave do autenticador: A entrega do código da chave de autenticação ao usuário é um ponto de vulnerabilidade. Se os hackers interceptarem esse código ou obtê-lo de alguma forma, todo o processo de autenticação do Google será comprometido e os hackers remotos poderão acessar a conta de qualquer lugar.

Apesar dessas vulnerabilidades, o Google Authenticator e outros aplicativos autenticadores melhoram significativamente a segurança de login do site em comparação apenas com senhas. Um sistema autenticador como esse poderia ter interrompido o hack de preenchimento de credenciais do 23andMe.

Que tal vincular o controle de acesso ao próprio dispositivo de login, como faz a Invysta?

Há outra solução que pode ter funcionado para evitar o hack do 23andMe. Esta é uma tecnologia baseada em software da Grupo de Tecnologia Invysta , o que poderia ter transformado instantaneamente os dispositivos de login dos usuários 23andMe em chaves de segurança físicas, oferecendo o mesmo nível de segurança que uma chave de segurança física (sem a necessidade da chave real).

A Invysta funciona detectando os identificadores exclusivos de hardware e software encontrados em cada dispositivo de login do usuário e usando esses identificadores para gerar uma “chave de acesso anônima” impossível de replicar. Ao transformar os smartphones ou laptops dos usuários do 23andMe em chaves de segurança físicas, a Invysta capacita sites com milhões de usuários para segurança de acesso do mais alto nível, sem a necessidade de comprar ou distribuir uma peça adicional de hardware – impossibilitando que hackers remotos conduzam uma credencial ataque de recheio.

É claro que o Invysta ainda é uma tecnologia relativamente desconhecida e a maioria dos proprietários de sites não sabe que ela existe. Com o tempo, porém, esta solução poderá construir uma reputação como uma estratégia poderosa, porém econômica, no espaço de controle de acesso.

Pensamentos finais

Este artigo analisou várias soluções de controle de acesso de login que poderiam ter ajudado a 23andMe a prevenir o ataque a seus clientes. Mas só porque algumas destas soluções funcionam hoje, não significa que continuarão a funcionar no futuro.

À medida que partilhamos mais detalhes sobre nós próprios e as nossas famílias online – incluindo os nossos dados de ADN e etnia em serviços como o 23andMe – o domínio da segurança digital em constante evolução é mais importante do que nunca. Na verdade, não se trata mais apenas de proteger nossas vidas financeiras. Trata-se de manter as nossas famílias protegidas de crimes de ódio, violações de privacidade íntima e outras vulnerabilidades terríveis.

À medida que estes perigos continuam a aumentar e a mudar nos próximos anos, espera-se que mais soluções de segurança cibernética apareçam no mercado. Ao implementar estas novas tecnologias antecipadamente, as organizações poderão evitar os danos financeiros, de reputação e de segurança física que a 23andMe sofreu recentemente.