Comentar

Seu comentário está sujeito a moderação. Não serão aceitos comentários com ofensas pessoais, bem como usar o espaço para divulgar produtos, sites e serviços. Para sua segurança serão bloqueados comentários com números de telefone e e-mail.

500 caracteres restantes
Corrigir

Se você encontrou algum erro nesta notícia, por favor preencha o formulário abaixo e clique em enviar. Este formulário destina-se somente à comunicação de erros.

Porto Alegre, quinta-feira, 02 de março de 2017. Atualizado às 23h40.

Jornal do Comércio

Economia

COMENTAR | CORRIGIR

Tecnologia

Notícia da edição impressa de 03/03/2017. Alterada em 02/03 às 20h18min

Falta de segurança expõe dados dos consumidores

Rotina criptográfica ao receber senha é prática mínima de segurança

Rotina criptográfica ao receber senha é prática mínima de segurança


YE AUNG THU/AFP/JC
Patricia Knebel
Os dados compartilhados pelos consumidores com empresas com as quais se relacionam estão mais vulneráveis do que se possa imaginar. Yahoo, LinkedIn, Ashley Madison (site de relacionamentos extraconjugais) são alguns casos famosos de players que se descuidaram da segurança e expuseram informações dos seus clientes, como endereço, CPF e dados bancários.
Um problema que, aliás, é muito mais comum do que se pensa - e que pode começar com a simples necessidade de recuperação de uma senha perdida. O engenheiro de software da Atlassian, Gustavo Sillero, percebeu isso quase por acaso. Ele esqueceu a sua senha de acesso ao site do Lattes (CNPq) e da área de clientes da Companhia de Energia Elétrica do Rio Grande do Sul (CEEE). Entrou na página para recuperá-las, colocou seu e-mail e CPF e qual não foi a sua surpresa quando a recebeu aberta no corpo da mensagem.
"Tanto a CEEE quanto o portal do Lattes possuem milhões de cadastros de usuários com informações sensíveis e estão guardando as senhas sem nenhum tipo de criptografia", alerta.
Para um usuário comum, isso poderia passar batido. Mas, como ele é conhecedor da área de tecnologia, logo percebeu o lapso. "Mandar essa informação aberta significa que qualquer pessoa que venha a ter acesso ao banco de dados, como os administradores de rede, possam ver e acessar contas de bancos, e-mails e redes sociais com conversas privadas", diz.
A CEEE admitiu que o problema de envio da senha por e-mail existe e disse que isso está sendo solucionado. O CNPq não se pronunciou até o final desta edição. 
O especialista de Segurança para o Consumidor da Norton da América Latina, Nelson Barbosa, comenta que essa prática de enviar a senha aberta, sem fazer verificações de segurança ou conduzir o usuário a criar uma nova, acontece mais do que se imagina. "As empresas precisam sempre lembrar que o usuário de uma senha tem a chave da porta de entrada de uma série de dados e serviços que estão sob um contrato, inclusive com cláusulas de privacidade", diz.
Segundo ele, isso acontece, porque muitas corporações não investem em banco de dados seguro e criptografia, e acabam se tornando vulneráveis tanto a ataques internos, de colaboradores mal intencionados, até externos. "A quantidade e a qualidade das informações que podem cair em mãos erradas é assustadora", afirma. Estudo da Norton mostra que, em 2016, 689 milhões de pessoas em 21 países analisados foram afetadas de alguma forma pelo cibercrime.
O pesquisador na área de Segurança e professor do Instituto de Informática da Ufrgs Luciano Paschoal explica que, normalmente, os sistemas com autenticação (em que os usuários precisam informar nome, e-mail ou senha) armazenam essas credenciais - até para poder se certificarem, em outras tentativas de acesso, que se trata do mesmo usuário. Porém não deveria ser uma prática comum guardar isso sem nenhum tipo de proteção.
O especialista explica que qualquer sistema com um cuidado mínimo de segurança aplica um conjunto de rotinas criptográficas ao receber a senha de forma que uma outra totalmente diferente seja guardada no banco de dados. Se alguém burlar o sistema, não vai conseguir usar as senhas.
Em alguns casos, as empresas enviam um link por e-mail no qual o usuário deve clicar para trocar a senha. Porém o caminho mais seguro, e que vem sendo seguido por corporações como o Google, é o da dupla autenticação. Se o usuário esquece o e-mail do Gmail, por exemplo, ele recebe um e-mail para renovar a senha e precisa acrescentar um código, que é enviado por SMS. "Além disso, a empresa possui controles adicionais, como o de identificar que o usuário está se logando de um lugar não usual e alertá-lo para confirmar se é ele mesmo", acrescenta o especialista.
 

Falha do Yahoo! permitiu invasão a 32 milhões de contas

O Yahoo! informou que 32 milhões de contas foram invadidas entre 2015 e 2016, explorando uma falha de segurança na rede da empresa.
Em dezembro, a empresa havia revelado que hackers roubaram o software usado pelo Yahoo! para criar cookies, o que teria causado o incidente de 500 milhões de contas invadidas em 2014. Agora, foi divulgado o número de contas invadidas recentemente pelo mesmo método.
Segundo um comitê de investigação no Yahoo!, os executivos da empresa tinham informações a respeito das invasões de 2014, mas não investigaram o caso a tempo de prevenir novas infrações.
Cookies de autenticação são dados armazenados no computador que permitem que o usuário fique logado a um site - por isso, podem possibilitar o acesso a uma conta de e-mail sem a senha.
COMENTAR | CORRIGIR
Comentários
Seja o primeiro a comentar esta notícia