Principais destaques:
– Facebook confirmou que milhares de senhas de usuários foram armazenadas em um bloco de notas;
– Desenvolvedores da rede social acessaram o arquivo ao projetar novas aplicações;
– Senha mais usada em 2018 foi “123456”, segundo a empresa de segurança SplashData;
– Especialista em segurança da Embratel dá 3 dicas para empresas dificultarem o uso de senhas fáceis em seus negócios.
O Facebook tem sido alvo de muitas críticas nas últimas semanas. A mais recente é por a rede social ter armazenado milhares de senhas dos usuários em um bloco de notas, algumas delas datadas de 2012. A descoberta foi feita pelo site KrebsOnSecurity, que, por meio de uma fonte interna, mostrou que o arquivo podia ser acessado por qualquer funcionário da empresa.
Segundo o site, essa falha de segurança afetou de 200 a 600 milhões de usuários e mais de 20 mil funcionários do Facebook puderam acessar os logins e senhas de cada pessoa. Ainda de acordo com o artigo do KrebsOnSecurity, aproximadamente 2 mil engenheiros e desenvolvedores criaram aplicações que utilizavam as informações desse bloco de notas.
O texto cita também que essas aplicações acessaram mais de 9 milhões de vezes o bloco de notas, que concentrou senhas de usuários que utilizavam o Facebook Lite – a versão mais leve para consumidores com smartphones de configuração básica ou que moram em regiões com conexão precária.
Após a descoberta, o Facebook publicou em seu blog que o problema já era conhecido pela empresa desde janeiro de 2019 e que uma correção já havia sido realizada. A rede social afirmou que não há motivo para preocupação porque não encontrou evidências de que alguém externo tenha acessado o arquivo, tampouco que colaboradores tivessem se aproveitado da falha de segurança.
Como sua empresa garante a segurança dos dados dos clientes?
Com tantas notícias sobre vazamento de dados, ainda é comum usuários utilizarem senhas simples em suas contas de e-mail ou e-commerce. Tanto que, segundo a empresa de segurança SplashData, “123456” foi a combinação mais usada em 2018. “password” e “123456789” fecham o top 3. O ranking anual é feito há 8 anos e se baseia em senhas vazadas na internet.
Yanis Cardoso Stoyannis, gerente de consultoria e inovação em cibersegurança da Embratel, explica que as empresas podem dificultar que hackers tenham acesso aos dados dos clientes. “Nenhuma senha pode ser gravada em um modo não criptografado [como no caso das senhas no bloco de notas do Facebook]. Se isso acontece, qualquer pessoa que tiver acesso à base de dados da empresa vai saber qual a combinação que o cliente usou.”
O executivo elencou três medidas de segurança para evitar falhas como a da rede social.
Algoritmos de Hash
A criptografia por algoritmos de Hash é quando a senha – de qualquer tamanho – é mapeada e “alterada” para um tamanho fixo de combinação. O Message-Digest algorithm 5 (MD5) já foi o mais usado, mas ele é muito antigo e pode ser quebrado, como explica Yanis. Ele sugere que as empresas utilizem o Secure Hash algorithm (SHA-1 ou SHA-2). “Essa é uma função de caminho único. Mesmo que alguém tenha acesso ao arquivo criptografado, não existe função inversa, ou seja, não tem como chegar na senha original”, afirma.
Definição de regra padrão
O desenvolvedor pode definir uma regra padrão para que o usuário crie uma senha mais segura. “Pode ser algo como uma senha com 8 ou 10 caracteres ou não ter letras repetidas, por exemplo. Com um algoritmo de teste, o desenvolvedor vai saber se o usuário colocou a senha dentro da regra padrão. Se não colocou, ele pede uma nova senha até que esteja dentro do requerido. É uma medida para que o usuário utilize uma senha difícil e a empresa evite que alguém com acesso ao arquivo, ou que tente invadir, tenha sucesso”, comenta Yanis.
Troca periódica de senha
Dependendo da criptografia utilizada para armazenar as senhas, a empresa pode forçar o usuário a trocá-la a cada dois ou três meses. “A empresa pode criar também uma regra para identificar as senhas já usadas em outro momento. Ela pode guardar o histórico de hashes daquele usuário para evitar que ele use uma senha já utilizada no passado.”
Sua empresa tem perfil nas redes sociais?
Então é bom considerar trocar as senhas e tomar algumas medidas de segurança como:
- Mudar a senha do Facebook e Instagram, evitando utilizar senhas já usadas em outros serviços;
- Escolher senhas fortes e complexas (ou utilizar aplicativos para gerenciamento de senha);
- Considerar ativar uma chave de segurança ou autenticação de dois fatores, assim esses aplicativos irão pedir um código sempre ao fazer o login neles.
“Usar senhas aleatórias, colocar números, letras maiúsculas e minúsculas, caracteres especiais, comprimento mínimo de 8 caracteres são algumas dicas”, reforça Yanis.