Empresas que exigem MFA a todos os clientes
Em abril de 2020, o Zoom estava em plena expansão. O início da pandemia por COVID forçou a que os colaboradores das empresas trabalhassem a partir de casa, as reuniões migraram para o modelo de videoconferência e o Zoom era a ferramenta preferencial. O seu crescimento rápido e massivo criou uma oportunidade para os cibercriminosos. Uma vulnerabilidade no Zoom permitia que um atacante roubasse as credenciais do Windows de um utilizador, desde que este acedesse a um link providenciado através de uma sessão de Zoom. A questão era como entrar nestas sessões privadas. A resposta chegou umas semanas mais tarde.
Uma base de dados com cerca de 530 mil credenciais de Zoom válidas estava a ser vendida na dark web. O Zoom tinha sido atacado? Não. Os cibercriminosos pegaram em gigabytes de credenciais roubadas ao longo dos anos e usaram um ataque de ‘credential stuffing’ para descobrir quais as credenciais que funcionavam no Zoom. Funcionaram centenas de milhares. Este tipo de ataque, basicamente, testa o login do utilizador através de uma credencial roubada, por norma oriunda de outra falha de segurança. Por exemplo, se eu usasse a mesma password para o LinkedIn e para o Zoom, e as minhas credenciais fizessem parte de um dos hacks ao LinkedIn – o mais conhecido remonta a 2012, quando foram roubadas 6.5 milhões de credenciais do LinkedIn – o ataque de ‘credential stuffing’ teria funcionado para o Zoom.
Isto acontece porque as pessoas, tendencialmente, usam, a mesma password várias vezes. A não ser que tenha um gestor de passwords, é impossível ter uma password diferente para cada acesso online. Por norma, os utilizadores têm três a cinco passwords diferentes para tudo, talvez como pequenas variações, como os números no final da palavra-passe.
Esta é, provavelmente, uma das razões que levou a Salesforce a anunciar, no início de 2021, que iria impor o uso de autentificação multifatorial (MFA) aos seus clientes a partir de 1 de fevereiro de 2022. Imagine um ataque de ‘credential stuffing’ contra a Salesforce, o CRM mais popular no mercado. Iria expor milhares, senão centenas de milhares, de contas, com todos os seus contactos e informações comerciais sensíveis. Agora, a Salesforce começará a permitir automaticamente MFA ao longo do ano. A propósito, não serão aceites verificações através de SMS ou OTP, visto serem extremamente vulneráveis a ataques múltiplos.
O Google seguiu o mesmo caminho. Em maio de 2021, anunciou que iria impor e permitir automaticamente 2FA para novos utilizadores. Em fevereiro de 2022, tinha mais de 150 milhões de utilizadores de 2FA para contas Google, assim como dois milhões de utilizadores de 2FA para criadores do YouTube.
Na verdade, a cultura do MFA está generalizada. As empresas que queiram subscrever ciberseguros terão de provar que estão a proteger os seus emails, servidores, acessos remotos e dados sensíveis com MFA. Os governos estão a impor a autenticação multifatorial às suas agências e fornecedores. O mercado vai nesta direção e os MSP têm conduzido isto há anos.
- Em julho de 2019, Corey Nachreiner, da WatchGuard, falou sobre as ameaças dos ataques que visam os MSP. Em vez de atacar uma empresa de cada vez, porque não visar os MSP, para que o ransomware possa ser implementado em todas as contas que gerem ao mesmo tempo? Ao usarem algumas consolas de gestão da ConnectWise, Kaseya, Webroot e RDP services, os cibercriminosos conseguiram perpetrar ataques massivos bem-sucedidos através dos MSP.
- O SVP da Webroot na altura, Chad Bacher, anunciou que “para garantir a melhor proteção a toda a comunidade de clientes da Webroot, decidimos tornar obrigatória a utilização da autentificação de dois fatores”. Ele está certo. Se a MFA é tão importante para proteger os ativos de uma empresa, proteger a consola de gestão de um MSP é muitas vezes mais importante.
- Em junho de 2020, os serviços secretos norte-americanos emitiram um alerta sobre o aumento de ataques relacionados com os MSP, obviamente para maximizar o número de empresas atingidas. No seu alerta, os Clientes MSP eram aconselhados a “impor a autentificação de dois fatores em todos os logins remotos”.
- Num caso semelhante, a Agência de Segurança de Infraestrutura & Cibersegurança dos EUA (CISA, na sigla original), em conjunto com o FBI e a NSA, emitiram um alerta, em setembro de 2021, devido ao crescimento significativo de infeções pelo ransomware Conti. O alerta mencionava que a maioria dos ataques acontecia através de acesso remoto aos servidores (RDP) e do uso de credenciais fracas. Uma das recomendações imediatas foi a implementação de MFA no RDP.
A tendência é de que os MSP estão a adicionar MFA aos seus pacotes de gestão. Em vez de ser um pacote opcional, agora faz parte do serviço principal, para a segurança das suas contas geridas, assim como para a sua própria proteção. Os MSP, simplesmente, não podem suportar um grande ataque de ransomware no seu portefólio de contas geridas. E a MFA, com uma boa formação dos utilizadores, é uma arma importante e poderosa contra o acesso a dados sensíveis e contra a distribuição de ransomware.