Bot criado por cientistas descobre vazamento em vários sites populares
Pesquisadores da Escola de Engenharia Jacobs, da Universidade da Califórnia em San Diego, desenvolveram uma ferramenta capaz de monitorar a atividade de sites e descobrir se eles apresentam brechas de segurança. Ainda que os resultados não tenham apresentado uma grande incidência — apenas 1% dos ambientes testados apresentaram vazamento em 18 meses de estudo —, o que preocupa é que a lista conta com grupos grandes e muito populares.
Ainda que 1% possa parecer pouco, em um universo de bilhões de páginas na web, isso significa que milhões são hackeadas todos os anos
“Ninguém está livre disso — empresas ou nações. Vai acontecer (vazamento de dados), é apenas uma questão de quando”, disse Alex C. Snoerer, autor do levantamento. Outro integrante da equipe, Joe DeBlasio, explica que ainda que 1% possa parecer pouco, em um universo de bilhões de páginas na web, isso significa que milhões são hackeadas todos os anos.
E o que impressiona é o fato de empresas que deveriam ter um sistema mais bem protegido estarem à mercê de invasões tão simples. “Um por cento de lojas realmente grandes sendo invadidas é assustador”, comentou DeBlasio. Eles decidiram não revelar quais foram essas companhias. “A realidade é que essas empresas não se voluntariaram para fazer parte deste estudo. Ao fazer nossa pesquisa nós realizamos uma grande exposição financeira e jurídica. Então, decidimos deixar a divulgação a cargo deles”, destacou Snoerer.
A ferramenta criada pela equipe é um robô digital que realiza cadastros em sites e então os monitora para saber se os dados foram capturados. Eles fizeram um acompanhamento entre junho de 2015 e fevereiro de 2017, em 2,3 mil páginas. Cada registro foi associado a um único endereço de email, com a mesma senha, tanto para o cadastro quanto para sua caixa de correio.
Uma startup muito conhecida, com mais de 45 milhões de clientes, foi facilmente invadida
Para garantir que a violação tenha sido relacionada aos sítios e não ao provedor de mensagens ou à própria infra-estrutura, os pesquisadores criaram um grupo de controle, composto por mais de 100 mil contas de email, geradas a partir da mesma fonte usada no estudo. Só que essas amostras não foram utilizadas como credenciais.
Depois disso, foi só monitorar para ver se algum serviço de terceiros acessou a lista, o que indicaria vazamento. Ao final, somente 19 mostraram sinais de invasão, incluindo “uma startup muito conhecida, com mais de 45 milhões de clientes ativos”. Todas as companhias foram avisadas sobre essas vulnerabilidades.
Os cientistas então resolveram fazer mais testes. Eles criaram duas contas por site, uma delas com senhas consideradas mais fáceis de quebrar, com palavras de sete caracteres, um em caixa alta e com apenas um dígito. A outra tinha códigos mais difíceis, com cadeias aleatórias de 10 caracteres, com letras e números, maiúsculos e minúsculos.
Pesquisadores reforçaram que não é aconselhável reutilizar senhas
Se ambos os exemplos fossem hackeados, isso significa que os sites armazenam as credenciais em texto simples. Já se somente o mais frágil fosse invadido, então fica fácil presumir que as empresas investem em algum tipo de criptografia mais avançada. Eles não revelaram o resultado dessa experiência, mas suas declarações deixaram bem claro que não foi nada animador.
Primeiro, eles reforçaram o conselho de nunca reutilizar senhas e usar um gerenciador, com o mínimo de exposição de dados possível. E, em seguida, eles apenas disseram que não darão sequência ao projeto. “A verdade do assunto é que sua informação será exposta e você não saberá que isso aconteceu. Esperamos que essas empresas usem (a pesquisa) para eles mesmos.”