O Twitter vai restringir a autenticação de dois fatores via SMS a subscritores do serviço premium a partir do próximo dia 20 de março. O anúncio foi feito pela rede social, na semana passada, em comunicado onde frisava que “a autenticação de dois fatores ainda não é necessária para fazer login“, embora seja “altamente recomendável”.
A justificação dada pela plataforma para a mudança é que “a autenticação de dois fatores baseada em número de telemóvel [SMS]” tem sido “usada — e abusada — por pessoas mal-intencionadas”. A disponibilidade desse mecanismo para o Twitter Blue — o serviço pago que chegou a Portugal no início deste mês — pode, ainda assim, variar de acordo com o país. Em resposta a um tweet, o patrão da Tesla e da Space X alegou que a rede social está a ser “enganada por operadoras de telecomunicações por 60 milhões de dólares/ano” em “SMS falsas de autenticação de dois fatores”.
Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages
— Elon Musk (@elonmusk) February 18, 2023
Os argumentos apresentados por Elon Musk e pelo Twitter são novos. Até ao momento, não tinham existido quaisquer alegações sobre “usos e abusos” do mecanismo. No passado mês de novembro, a rede social tinha, sim, verificado problemas com a autenticação de dois fatores via SMS, com alguns dos utilizadores a não terem recebido os códigos.
A Wired, que descreve a nova medida como “bizarra”, explica que durante anos especialistas de cibersegurança alertaram que a autenticação de dois fatores via SMS não era tão segura quanto as restantes opções, uma vez que em casos de clonagem de cartões SIM os números de telemóvel são comprometidos — e os hackers conseguem ter acesso às mensagens do aparelho que invadiram e, consequentemente, aos códigos de verificação e às contas. Ainda assim, esses mesmos especialistas consideram que não faz sentido limitar o mecanismo para aqueles que pagam pelo serviço premium e entendem que isso vai enfraquecer a segurança daqueles que não escolherem uma nova opção.
Por sua vez, o The Verge tem outra opinião sobre o tema: o Twitter poderá estar a fazer esta alteração porque enviar as mensagens custa dinheiro, algo importante para a empresa diversificar as fontes de receita. Note-se que, em novembro, para justificar o despedimento de quase metade dos funcionários, Musk afirmava que o Twitter perdia “quatro milhões de dólares por dia”.
To clear up confusion about two-factor authentication on Twitter –– it’s still live and a good way to protect your account. If you have it turned on, your chosen authentication method should be good to go.
We’re looking into the few cases where SMS codes aren't being delivered.
— Twitter Support (@TwitterSupport) November 15, 2022
Os utilizadores do pássaro azul que não subscrevem o serviço pago têm agora menos 30 dias (que começaram a contar a 15 de fevereiro) para escolher um novo método de autenticação de dois fatores. “Incentivamos os não assinantes a considerar o uso de uma aplicação de autenticação ou de um método de chave de segurança”, lê-se na nota do Twitter, que ressalva que “desativar a autenticação de dois fatores via mensagem de texto não desassocia automaticamente o número de telefone” do utilizador da conta.
Twitter Blue. O serviço pago da rede social de Elon Musk já está disponível em Portugal
A CNN recorda que, de acordo com um relatório do próprio Twitter, em 2021, só 2,6% dos utilizadores tinham ativado um método de autenticação de dois fatores. Porém, desse total, 74,4% utilizam a verificação por SMS.
Ter uma password forte nas aplicações é importante para garantir a segurança das contas e consequentemente dos dados, mas a autenticação de dois fatores não deve ser descurada. Desta forma, o The Washington Post deixa algumas recomendações de aplicações que geram códigos de autenticação e que estão disponíveis de forma gratuita, tanto para Android como para iOS: Twilio Authy, Google Authenticator ou Microsoft Authenticator.