Falta de segurança expõe dados dos consumidores

Os dados compartilhados pelos consumidores com empresas com as quais se relacionam estão mais vulneráveis do que se possa imaginar. Yahoo, LinkedIn, Ashley Madison (site de relacionamentos extraconjugais) são alguns casos famosos de players que se descuidaram da segurança e expuseram informações dos seus clientes, como endereço, CPF e dados bancários.

Um problema que, aliás, é muito mais comum do que se pensa - e que pode começar com a simples necessidade de recuperação de uma senha perdida. O engenheiro de software da Atlassian, Gustavo Sillero, percebeu isso quase por acaso. Ele esqueceu a sua senha de acesso ao site do Lattes (CNPq) e da área de clientes da Companhia de Energia Elétrica do Rio Grande do Sul (CEEE). Entrou na página para recuperá-las, colocou seu e-mail e CPF e qual não foi a sua surpresa quando a recebeu aberta no corpo da mensagem.

"Tanto a CEEE quanto o portal do Lattes possuem milhões de cadastros de usuários com informações sensíveis e estão guardando as senhas sem nenhum tipo de criptografia", alerta.

Para um usuário comum, isso poderia passar batido. Mas, como ele é conhecedor da área de tecnologia, logo percebeu o lapso. "Mandar essa informação aberta significa que qualquer pessoa que venha a ter acesso ao banco de dados, como os administradores de rede, possam ver e acessar contas de bancos, e-mails e redes sociais com conversas privadas", diz.

A CEEE admitiu que o problema de envio da senha por e-mail existe e disse que isso está sendo solucionado. O CNPq não se pronunciou até o final desta edição. 

O especialista de Segurança para o Consumidor da Norton da América Latina, Nelson Barbosa, comenta que essa prática de enviar a senha aberta, sem fazer verificações de segurança ou conduzir o usuário a criar uma nova, acontece mais do que se imagina. "As empresas precisam sempre lembrar que o usuário de uma senha tem a chave da porta de entrada de uma série de dados e serviços que estão sob um contrato, inclusive com cláusulas de privacidade", diz.

Segundo ele, isso acontece, porque muitas corporações não investem em banco de dados seguro e criptografia, e acabam se tornando vulneráveis tanto a ataques internos, de colaboradores mal intencionados, até externos. "A quantidade e a qualidade das informações que podem cair em mãos erradas é assustadora", afirma. Estudo da Norton mostra que, em 2016, 689 milhões de pessoas em 21 países analisados foram afetadas de alguma forma pelo cibercrime.

O pesquisador na área de Segurança e professor do Instituto de Informática da Ufrgs Luciano Paschoal explica que, normalmente, os sistemas com autenticação (em que os usuários precisam informar nome, e-mail ou senha) armazenam essas credenciais - até para poder se certificarem, em outras tentativas de acesso, que se trata do mesmo usuário. Porém não deveria ser uma prática comum guardar isso sem nenhum tipo de proteção.

O especialista explica que qualquer sistema com um cuidado mínimo de segurança aplica um conjunto de rotinas criptográficas ao receber a senha de forma que uma outra totalmente diferente seja guardada no banco de dados. Se alguém burlar o sistema, não vai conseguir usar as senhas.

Em alguns casos, as empresas enviam um link por e-mail no qual o usuário deve clicar para trocar a senha. Porém o caminho mais seguro, e que vem sendo seguido por corporações como o Google, é o da dupla autenticação. Se o usuário esquece o e-mail do Gmail, por exemplo, ele recebe um e-mail para renovar a senha e precisa acrescentar um código, que é enviado por SMS. "Além disso, a empresa possui controles adicionais, como o de identificar que o usuário está se logando de um lugar não usual e alertá-lo para confirmar se é ele mesmo", acrescenta o especialista.