Em parte, a empresa tem razão. Usar credencial exatamente igual em tudo quanto é site é um risco de segurança pro usuário.
Mas, por outro lado: é uma coisa básica exigir a digitação de algum código ou clicar em algum link de validação (ambos enviados por email, por exemplo) quando o acesso vem de um IP que nunca acessou os serviços da empresa antes. Desde muito tempo vários serviços fazem isso. No caso é uma combinação de fatores que incluem de onde está partindo o acesso e uma “impressão digital” da máquina que é gravada no primeiro login a partir de um dispositivo novo.
Ou: apesar da empresa direcionar a culpa pros usuários, a culpa é dela por não implementar mitigações de segurança básica contra invasões. Inclusive coisa que já é comum faz tempo.
É… Enquanto não tiver uma “lei” que defina os padrões mínimos de segurança fica complicado.
Vamos supor que o padrão mínimo por lei não exige IP e nem A2F. Nesse caso a empresa não tem culpa pois está oferecendo o mínimo, exceto se algum hacker entrou no servidor (que foi o caso) e roubou os dados. Então foi falha da empresa em ter “permitido” a invasão.
O que precisa é realmente uma lei que obrigue proteções mínimas como A2F serem usadas.
Porque o usuário não pode obrigar uma empresa a fazer isso. É complicado
6,9 milhões de usuários logando em apenas de 14 mil contas.
Ou seja, cada login teve acesso à uma média de dados de outras 492,86 pessoas… e a culpa é só do cliente. Ok, ok… Como 14 MIL contas metendo a louca no site não fez nenhum sistema de segurança disparar?
Quem fez o teste do cotonete ja ta marcado.