Outra pessoa está usando sua conta Twilio? Práticas recomendas para proteger seu token de autenticação

Is Someone Else Using Your Twilio Account? Best Practices to Protect Your Auth Token
December 04, 2018
Escrito por
Shelley Wu
Twilion

Com mais de 5 bilhões de usuários de telefones celulares no mundo, os invasores constantemente encontram maneiras de tirar vantagem de pessoas desavisadas por meio de seus dispositivos conectados. O smishing, a prática de usar SMS para fazer engenharia social, é um ataque muito comum que as operadoras de telecomunicações têm trabalhado para solucionar. Fazendo se passar por uma entidade confiável, um agente mal-intencionado envia mensagens de texto para solicitar informações pessoais, como senhas ou números de cartão de crédito. Mesmo que apenas algumas pessoas mordam a isca, o esquema já compensa, especialmente se o invasor estiver usando credenciais roubadas de uma conta Twilio para enviar as mensagens.

Na Twilio, damos muito valor à confiança, e é por isso que queremos ajudar a proteger você e seus usuários de ataques de smishing. Neste post, compartilhamos algumas práticas recomendadas para proteger sua conta.

Práticas recomendadas para a prevenção contra fraudes e phishing com a Twilio

Alguém que rouba seu token de autenticação da Twilio pode usar sua conta como se fosse você, fazendo o que quiser sem repercussão. Os fraudadores podem fazer chamadas, enviar mensagens usando sua identidade confiável, fazer download de registros ou alterar as configurações de URL de seus números de telefone da Twilio. 

Quando seu token de autenticação é utilizado de forma inapropriada, ele pode rapidamente acarretar cobranças elevadas em sua conta Twilio. Pior ainda, se seu token de autenticação for parar nas mãos erradas, isso pode prejudicar irremediavelmente sua reputação e minar a confiança entre você e seus clientes.

Para resolver essas situações, aumentamos nossos controles de detecção de atividades fraudulentas nas contas. Queremos enfatizar especificamente as precauções que os clientes podem tomar para evitar o acesso indesejado à conta antes de tudo. Conheça algumas práticas básicas de segurança para ajudar você a proteger seu token de autenticação da Twilio contra o uso fraudulento. 

Proteja seu token de autenticação

Nunca informe seu token de autenticação, armazene-o na Internet ou deixe-o à mostra. Trate-o com o mesmo cuidado que você tem com uma senha, pois é exatamente isso que ele é.

Não codifique chaves ou tokens

Nunca codifique chaves ou tokens em seu app. Recuperar essas credenciais descompilando o app é muito simples. Para evitar ainda mais essa exposição durante o desenvolvimento de apps, faça as chamadas da API da Twilio a partir do seu servidor e não do cliente.

Não envie credenciais para repositórios públicos

Jamais envie seus tokens para repositórios públicos no GitHub. Se você fizer isso por engano, altere-os imediatamente (veja a próxima dica). Defina seu token de autenticação como uma variável de ambiente e, em seguida, faça referência à variável em seu código. Isso protege o token de autenticação contra exposição e impede que o código faça chamadas de API de um ambiente não autorizado

Alterne seus tokens regularmente

Altere seus tokens de autorização periodicamente de forma que, se eles forem comprometidos, não continuem disponíveis para phishing ou outras atividades criminosas. Uma boa prática é tratar as credenciais como escovas de dentes: troque-as a cada três meses e não as compartilhe com outras pessoas. 

Crie tokens de escopo limitado

Considere o uso de tokens de acesso à API baseados em tempo para obter mecanismos de autenticação mais granulares, em vez de usar o SID e o token de autenticação.

Monitore sua conta

Fique de olho em sua conta e esteja atento a quaisquer cobranças que não reconheça.

Proteger seu token de autenticação é uma parte essencial de uma boa estratégia geral de segurança. A Twilio tem o compromisso de criar e manter a confiança, e queremos oferecer a você as ferramentas e os conselhos apropriados para proteger adequadamente seus apps e gerenciar seus dados. Para obter mais informações, consulte os documentos de Autenticação e identidade do usuário.

Evitando fraudes e phishing por padrão

A segurança adequada em seu aplicativo da Web começa com as práticas recomendadas simples que descrevemos aqui. Ao proteger suas credenciais de conta e permanecer atento a qualquer atividade fraudulenta, você pode proteger seus clientes, sua reputação e seus resultados.

Para obter mais informações sobre como evitar fraudes e proteger sua conta, consulte o guia do desenvolvedor antifraude.