26/03/2019
Principais destaques:
– Facebook confirmou que milhares de senhas de usuários foram armazenadas em um bloco de notas;
– Desenvolvedores da rede social acessaram o arquivo ao projetar novas aplicações;
– Senha mais usada em 2018 foi “123456”, segundo a empresa de segurança SplashData;
– Especialista em segurança da Embratel dá 3 dicas para empresas dificultarem o uso de senhas fáceis em seus negócios.
O Facebook tem sido alvo de muitas críticas nas últimas semanas. A mais recente é por a rede social ter armazenado milhares de senhas dos usuários em um bloco de notas, algumas delas datadas de 2012. A descoberta foi feita pelo site KrebsOnSecurity, que, por meio de uma fonte interna, mostrou que o arquivo podia ser acessado por qualquer funcionário da empresa.
Segundo o site, essa falha de segurança afetou de 200 a 600 milhões de usuários e mais de 20 mil funcionários do Facebook puderam acessar os logins e senhas de cada pessoa. Ainda de acordo com o artigo do KrebsOnSecurity, aproximadamente 2 mil engenheiros e desenvolvedores criaram aplicações que utilizavam as informações desse bloco de notas.
O texto cita também que essas aplicações acessaram mais de 9 milhões de vezes o bloco de notas, que concentrou senhas de usuários que utilizavam o Facebook Lite – a versão mais leve para consumidores com smartphones de configuração básica ou que moram em regiões com conexão precária.
Após a descoberta, o Facebook publicou em seu blog que o problema já era conhecido pela empresa desde janeiro de 2019 e que uma correção já havia sido realizada. A rede social afirmou que não há motivo para preocupação porque não encontrou evidências de que alguém externo tenha acessado o arquivo, tampouco que colaboradores tivessem se aproveitado da falha de segurança.
Com tantas notícias sobre vazamento de dados, ainda é comum usuários utilizarem senhas simples em suas contas de e-mail ou e-commerce. Tanto que, segundo a empresa de segurança SplashData, “123456” foi a combinação mais usada em 2018. “password” e “123456789” fecham o top 3. O ranking anual é feito há 8 anos e se baseia em senhas vazadas na internet.
Yanis Cardoso Stoyannis, gerente de consultoria e inovação em cibersegurança da Embratel, explica que as empresas podem dificultar que hackers tenham acesso aos dados dos clientes. “Nenhuma senha pode ser gravada em um modo não criptografado [como no caso das senhas no bloco de notas do Facebook]. Se isso acontece, qualquer pessoa que tiver acesso à base de dados da empresa vai saber qual a combinação que o cliente usou.”
O executivo elencou três medidas de segurança para evitar falhas como a da rede social.
A criptografia por algoritmos de Hash é quando a senha – de qualquer tamanho – é mapeada e “alterada” para um tamanho fixo de combinação. O Message-Digest algorithm 5 (MD5) já foi o mais usado, mas ele é muito antigo e pode ser quebrado, como explica Yanis. Ele sugere que as empresas utilizem o Secure Hash algorithm (SHA-1 ou SHA-2). “Essa é uma função de caminho único. Mesmo que alguém tenha acesso ao arquivo criptografado, não existe função inversa, ou seja, não tem como chegar na senha original”, afirma.
O desenvolvedor pode definir uma regra padrão para que o usuário crie uma senha mais segura. “Pode ser algo como uma senha com 8 ou 10 caracteres ou não ter letras repetidas, por exemplo. Com um algoritmo de teste, o desenvolvedor vai saber se o usuário colocou a senha dentro da regra padrão. Se não colocou, ele pede uma nova senha até que esteja dentro do requerido. É uma medida para que o usuário utilize uma senha difícil e a empresa evite que alguém com acesso ao arquivo, ou que tente invadir, tenha sucesso”, comenta Yanis.
Dependendo da criptografia utilizada para armazenar as senhas, a empresa pode forçar o usuário a trocá-la a cada dois ou três meses. “A empresa pode criar também uma regra para identificar as senhas já usadas em outro momento. Ela pode guardar o histórico de hashes daquele usuário para evitar que ele use uma senha já utilizada no passado.”
Então é bom considerar trocar as senhas e tomar algumas medidas de segurança como:
“Usar senhas aleatórias, colocar números, letras maiúsculas e minúsculas, caracteres especiais, comprimento mínimo de 8 caracteres são algumas dicas”, reforça Yanis.
