Existem muitos riscos à privacidade pessoal, mas um dos maiores pode ser o próprio usuário. É exatamente isso o que afirmou a analista de segurança da GuidePoint Security, Cat Murdock, em uma sessão na conferência de segurança DefCon, que este ano está sendo realizada online em razão da pandemia de covid-19. Ela descreveu um cenário de pesadelo aparentemente saído de um episódio de Black Mirror — coincidentemente sua sessão foi batizada de “Black Mirror: Você é seu próprio pesadelo de privacidade – a ameaça oculta de pagar por serviços de assinatura”.
A analista de segurança detalhou como simplesmente ter uma conta do Netflix pode ser a chave de abertura da porta para um invasor obter acesso às informações bancárias do usuário. Ela ressaltou que aproximadamente 60% da população adulta paga por algum tipo de serviço de assinatura online, seja Netflix, Spotify ou qualquer outro. E observou que todos com uma assinatura online têm uma conta bancária.
Uma forma de uma instituição financeira verificar o titular da conta quando ele tenta obter acesso é verificar uma transação recente. Cat observou que há tantos planos que um serviço de assinatura oferece e os pagamentos normalmente ocorrem na mesma hora todos os meses.
Veja isso
Falso app do Netflix rouba tokens bancários
Falha em Sign with Apple dava acesso total a qualquer conta
A analista de segurança também observou que muitas pessoas comentam sobre suas assinaturas nas redes sociais, identificando que acabaram de pagar novamente ou que continuam com as assinaturas. “As pessoas adoram falar sobre suas assinaturas”, disse Cat. “Isso é inteligência obtida através de dados e informações disponíveis e acessíveis a qualquer pessoa [OSINT].”
Para testar sua teoria, durante a apresentação ela abriu uma nova conta bancária e reproduziu as gravações de áudio de suas interações com o banco, usando OSINT e habilidades de engenharia social para obter acesso, o que ela acabou conseguindo. “Não é culpa do seu banco que você use o Netflix e não é culpa do Netflix que você carregue o dinheiro do banco”, disse ela. “É nossa obrigação, como usuários, prestar atenção a essas coisas, entender o que estão acontecendo.
“Lembre-se de que qualquer provedor de serviços que você usa é responsável apenas por seus próprios termos de privacidade e, francamente, como vimos, eles nem sempre fazem isso bem”, acrescentou Cat. Como resultado, ela sugeriu que, em última análise, cabe a cada indivíduo cuidar de sua privacidade. Ela recomendou que as pessoas estejam bem cientes do que estão escolhendo compartilhar com o mundo e quem pode ver isso.
“Certifique-se de que você possui sua própria privacidade e sabe, tente fazer verificações de higiene de rotina”, disse Cat. “Escolha um dia a cada trimestre ou mês e pergunte: Em o que eu estou inscrito? O que há de novo? O que eu vou compartilhar ou outra pessoa compartilhou algo sobre mim? ”