terça-feira, 19 de junho de 2012

Vazamento de senhas revela preferência de usuários por padrões manjados


Na primeira semana de junho, eHarmony, Last.fm e LinkedIn confirmaram o vazamento das senhas de milhões de seus usuários.
Roubadas das bases de dados dos sites, as senhas estavam criptografadas, mas isso não impediu que hackers descobrissem muitas delas.
No caso do LinkedIn, por exemplo, 60% das senhas vazadas já tinham sido decodificadas um dia depois do anúncio do vazamento, segundo a empresa de segurança Sophos. A violação foi especialmente fácil para senhas com padrões muito comuns.
Anderson Tamborim, especialista em segurança da informação da TrustSign, explica que vários programas hackers usam dicionários como base de seus ataques, já que a maioria das pessoas recorre a palavras existentes no léxico para criar senhas. "As que remetem a palavras comuns, que você encontra em qualquer dicionário, são as menos recomendáveis."
Após o vazamento de dados do LinkedIn, a empresa de segurança da informação Rapid7 fez uma lista das palavras mais comuns em senhas de usuários da rede social de relações profissionais, baseada em 165 mil senhas desvendadas.
As palavras "link", "work" (trabalho, em inglês) e "job" (emprego), que têm relação óbvia com o site, estavam entre as cinco mais comuns. Marcus Carey, especialista da Rapid7, diz que palavras bastante recorrentes do português e do espanhol eram "bonita", "entrar" e "princesa".
Apesar de as senhas terem vazado sem nomes de usuários correspondentes, ter uma lista limitada de possibilidades facilita o trabalho dos hackers para invadir contas.
LinkedIn, Last.fm e eHarmony admitiram os vazamentos e recomendaram aos usuários que alterassem suas senhas por meio de comunicados publicados em seus sites.
O LinkedIn afirmou em seu blog oficial que nenhum acesso não autorizado devido ao vazamento de senhas foi reportado até o dia 7.
ESTRATÉGIA RARA
Roubar bases de dados para ter acesso a contas é uma tática pouco usual, porque implica esforços sofisticados: invadir o site, violar a criptografia e obter os nomes de usuários correspondentes.
Segundo Anderson Tamborim, a estratégia mais comum é apostar na inocência do próprio usuário, postando um link malicioso sob uma roupagem de um serviço confiável: o chamado "phishing".
O gestor de marketing Fábio Leite, 36, perdeu propostas de trabalho e contatos de sua área por ter caído numa dessas armadilhas.
"Instalei um suposto antivírus, e o invasor pegou minha senha do Hotmail."
A senha só tinha números. Ele relatou a perda ao Hotmail, mas não obteve resposta. Hoje, usa o Yahoo! Mail.
Fernanda Pascale, advogada especialista em direito digital, diz que "a empresa não tem responsabilidade legal se o uso não autorizado da senha partiu de falta de cuidado do detentor da conta".
Invadir uma conta não é crime no Brasil, diz Fernanda. A pessoa só pode ser incriminada se ferir alguma lei a partir da invasão, como violar a intimidade da vítima.

Nenhum comentário: