Mais credenciais comprometidas. O que fazer?

lost-businessman_23-2147618186

Fonte da imagem: https://www.freepik.com/

Mais uma vez, milhões de credenciais foram divulgadas durante essa semana, em uma das maiores publicações deste tipo na história.

Afirma-se que mais de 770 milhões de endereços de e-mail, e senhas, foram adicionadas a outras bases de credenciais comprometidas anteriormente, virando notícia em sites como o Olhar Digital, bem como o blog da companhia de segurança Kaspersky Labs, entre outras tantas mídias digitais.

O montante de dados foi divulgado por Troy Hunt, pesquisador de segurança e criador do site Have I Been Pwned, que provê um serviço de consultas a estas mesmas bases, permitindo aos usuários que verifiquem se o e-mail informado está entre os listados como comprometidos.

Como estes vazamentos se tornam cada vez mais frequentes, o cuidado na manutenção de dados pessoais faz-se essencial e, portanto, vou passar a publicar dicas de segurança básicas para a proteção destas informações. As primeiras dicas são relacionadas a senhas.

Sempre mantenha senhas diferentes para serviços diferentes. Se você tem cadastro em diversos serviços na Internet, como redes sociais, serviços de correio eletrônico, bancos digitais, entre outros, procure cadastrar senhas diferentes para cada um deles. Assim você minimiza a chance de que o comprometimento de um serviço leve ao acesso indevido de outros, devido a utilizarem as mesmas credenciais de acesso.

Crie senhas com alta complexidade na combinação de caracteres. Outro artigo publicado no site Olhar Digital traz uma lista que aponta as 25 senhas mais utilizadas no mundo durante o ano passado. Isso mostra o quão fácil se torna comprometer uma conta pessoal, a partir da utilização de senhas fracas e comuns.

Por isso é necessário criar senhas complexas, envolvendo letras maiúsculas, minúsculas, números, caracteres especiais, de preferência utilizando frases longas, porém de fácil memorização, evitando assim o uso de senhas mais fáceis de serem descobertas como datas de nascimento, nomes de parentes, entre outras. Daí vem a pergunta, mas como lembrar de tantas senhas complexas e diferentes para manterem-se seguros utilizando diversos serviços?

Isso leva a outra dica: Utilize gerenciadores de senhas. Eles permitem o registro, organização, e manutenção de senhas, guardando-as em bases relativamente seguras, podendo gerar as senhas automaticamente para você, e com complexidades diferentes, mantendo inclusive um histórico das alterações, facilitando a troca destas quando necessário.

Esse recurso possibilita que você armazene centenas de credenciais para o acesso a diversos serviços, sendo necessário apenas se preocupar com a senha configurada para o acesso à aplicação, bem como em sempre manter a sua base de senhas atualizada, quando da troca das credenciais junto aos serviços utilizados.

Uma das várias opções de gerenciadores de senhas, disponíveis no mercado, é o software livre Keepass, disponível em versões para diversos sistemas operacionais, como Windows, GNU/Linux, Mac OS, Android, iPhone, Chromebook, entre outras, tanto em versões de 32 bits quanto de 64 bits. A nomenclatura do app pode variar de acordo com o sistema operacional utilizado, porém são fáceis de localizar na página de downloads da aplicação.

O Keepass é um dos aplicativos coberto pelos investimentos realizados pela União Européia, e que oferece o pagamento de recompensas pela descoberta e reporte de falhas de segurança na aplicação, assim como divulgado recentemente aqui mesmo neste blog.

Esses investimentos permitem que a aplicação seja testada por pesquisadores, bem como possibilita que falhas de segurança existentes sejam descobertas e corrigidas mais rapidamente.

Mesmo empregando complexidade, e a utilização de recursos como os gerenciadores para a geração destas credenciais, também é preciso seguir uma última recomendação, que é trocar as senhas com regularidade.

A facilidade na geração de senhas complexas, oferecida por tais ferramentas, simplifica o processo de troca das credenciais com regularidade, proporcionando um maior grau de segurança através da rotatividade constante das informações de acesso.

Utilizando senhas complexas e diferentes para serviços diferentes, além de armazená-las de forma segura em gerenciadores de senhas, trocando-as regularmente, permite a minimização dos riscos de comprometimento das credenciais utilizadas para os serviços do dia a dia, ajudando a manter uma navegação mais segura.

Google+ tem encerramento antecipado após nova falha de segurança

1_google_logo

A Google anunciou uma nova data para o encerramento das atividades de sua rede social Google+, após uma nova falha de segurança comprometer os dados de 52 milhões e meio de usuários.

A previsão anterior era de que a empresa deixasse de fornecer o acesso à rede social a partir de agosto de 2019. Porém, após a violação em massa de dados ocorrida recentemente, este prazo foi antecipado para abril de 2019.

De acordo com o anúncio oficial, uma atualização da plataforma, implementada em novembro deste ano, introduziu um bug na API da Google+ que impactou negativamente os usuários. A falha foi descoberta durante os testes recorrentes conduzidos pela empresa, e corrigida uma semana após ter sido introduzida.

O bug permitia que aplicações que requisitavam permissão de visualização de dados destes usuários, tais como nome, endereços de e-mail, ocupação e idade, tivessem acesso a estas informações mesmo que os usuários as tivessem configurado como privadas.

Da mesma forma, informações de perfil que foram compartilhadas entre os usuários da Google+ também puderam ser acessadas por estas aplicações, mesmo que estes tenham marcado tais informações como sendo não públicas.

A empresa ressalta que, embora estes acessos tenham ocorrido, informações como dados financeiros, senhas, números de identidade, entre outros, não foram comprometidos pela falha.

Para maiores informações, acessem o comunicado oficial da empresa, em inglês, através deste link.

Sky Brasil teve dados de clientes expostos

HTML code

Segundo o pesquisador independente em cibersegurança Fábio Castro, os dados de 32 milhões de clientes da Sky Brasil estiveram expostos online por tempo suficiente para serem acessados indevidamente. Quando da divulgação da descoberta, as informações de identificação pessoal dos usuários estavam disponíveis em servidores executando Elasticsearch, que disponibilizavam estes dados sem a necessidade de autenticação.

Um cluster de nome “digital-logs-prd” atraiu a atenção do pesquisador que, com um simples comando, listou os índices disponíveis, onde em um destes contava com um tamanho de 429 GB. As informações incluíam nome completo, endereço, e-mail, senha de acesso aos serviços da empresa, endereço IP dos clientes, métodos de pagamento, números de telefone, entre outras.

Ao reportar sua descoberta para a companhia, esta providenciou a proteção de acesso aos dados com uma senha, o que levou apenas alguns minutos para ser implementado. Porém, como a exposição havia perdurado por um longo período, a proteção pode ter chegado tarde para evitar que os dados tenham sido coletados.

Entre os clientes com dados expostos, incluindo os do próprio pesquisador, estavam também as informações a respeito de políticos brasileiros renomados, como governadores e funcionários do governo.

Embora a proteção de dados pessoais contra violações de privacidade seja um senso comum na segurança da informação, a configuração inapropriada de servidores com Elasticsearch é algo comum mesmo para organizações de grande porte. O pesquisador chegou a estes servidores utilizando as funções avançadas da ferramenta de busca Shodan.io.

A reportagem original, em inglês, pode ser vista no site Bleeping Computer.