O blog Segurança Digital apurou que ao menos duas plataformas de lojas on-line criaram a possibilidade de realizar compras sem senha para clientes que já possuem cadastro nas lojas. Nessa modalidade, como a única barreira para fazer um pedido é informar o endereço de e-mail, os dados do cliente ficam censurados (com asteriscos, vide foto) para que outras pessoas não tenham acesso ao cadastro. No entanto, parte da censura podia ser burlada com a opção de pagamento por boleto, já que os dados do cliente eram incluídos no documento de forma legível.

Na prática, era possível fechar um pedido e obter endereço completo, o nome completo e o CPF de um consumidor apenas com o endereço de e-mail. Bastava fechar o pedido com a opção de boleto.

As plataformas identificadas, CiaShop e Web Storm, oferecem uma tecnologia para que outras empresas possam facilmente criar um site de e-commerce. Sendo assim, qualquer loja criada com uma dessas tecnologias possui o recurso. Ou seja, o problema existia em várias lojas, não em um site específico.

A censura no boleto ao lado foi adicionada pelo blog, pois o arquivo original era limpo e permitia a visualização dos dados particulares. O arquivo podia ser baixado por qualquer um que soubesse o e-mail do consumidor. (Foto: Reprodução)

Um mês após serem comunicadas pelo blog Segurança Digital, a CiaShop e a Web Storm modificaram o recurso e não permitem mais o download do boleto. No caso da CiaShop, não é mais possível fechar pedidos com boleto sem digitar a senha. Nas lojas da Web Storm, o pedido é fechado, mas o boleto é enviado por e-mail, protegendo a informação. Apesar de terem modificado a funcionalidade, as empresas minimizaram o risco para os consumidores, considerando que um possível criminoso teria que saber a loja em que o consumidor fez alguma compra.

Omar Kaminski, advogado especialista em direito e internet, observa que não há lei específica para a proteção de dados e que são aplicados o Marco Civil de Internet, o Código de Defesa do Consumidor e o Código Civil. "Uma vez provado que houve ato ilícito, dano ou prejuízo, é possível buscar uma reparação judicial. Como se trata de direitos difusos, o ideal é que o Ministério Público seja convocado a intervir", disse o especialista.

Para Cléber Brandão, gerente do Blockbit Labs, braço de pesquisa da empresa de segurança Blockbit, o caso se enquadra como um vazamento de dados.  "Qualquer dado pessoal deveria estar protegido por medidas de privacidade e confidencialidade", avalia o especialista.

Brandão explica que informações pessoais podem ser usadas em golpes on-line, permitindo que criminosos enviem mensagens se passando por instituições financeiras ou empresas e personalizem essa comunicação com os dados pessoais para convencer a vítima a entregar outras informações, inclusive senhas.

"Para o e-commerce, entendo que permitir a compra sem necessidade de uma senha pareça uma ótima opção para promover mais vendas, porém, no ponto de vista de segurança da informação, não é uma boa prática", disse ele, que sugere a adoção de "tokens" (senhas temporárias).


Janela em site informando que compra pode ser finalizada com o e-mail, dispensando outras formas de autenticação. (Foto: Reprodução)

Plataformas minimizam impacto
Para a CiaShop, o caso é "muito específico" e "pouco provável de acontecer". "Uma pessoa mal-intencionada teria que saber o e-mail do cliente e o e-commerce em que ele tem conta para simular uma compra – desde que seja o segundo pedido ou mais - naquela loja online e, só então, ter acesso ao nome completo e CPF no boleto gerado, conforme exigido pelo Banco Central. Dados críticos, como número de cartão de crédito e senha, não são expostos em nenhum momento", disse a empresa.

Eduardo Aguiar, diretor comercial da Web Storm, teve o mesmo entendimento. "Não basta apenas saber um e-mail, é necessário saber em que loja um comprador fez uma compra com este mesmo e-mail e tentar burlar a segurança desta loja para obter o CPF deste comprador", disse ele. O executivo também argumentou que o problema ocorreu por causa da exigência dos bancos de registrar boletos e que "há meio mais fáceis" para obter esses dados", citando o Registro.br - o órgão brasileiro que registra sites na internet (como "g1.com.br").

A comparação de Aguiar foi afastada por Frederico Neves, diretor de Serviços e de Tecnologia do NIC.br, órgão que mantém o Registro.br.  Ele explicou que o serviço é um registro público de cunho declaratório e que o CNPJ ou CPF, revelados na consulta de "Whois", serve para "atribuir univocamente a titularidade de um nome de domínio". Neves ainda lembrou que registros públicos também precisam evitar fraudes de identidade, o que exige "um balanço bastante delicado entre a preservação da privacidade e a publicidade [dos dados]", além de considerar que a alternativa, informar o endereço postal -- também registrado nos boletos das lojas -- seria "muito mais delicada".

Já Brandão, do Blockbit Labs, discorda que o ataque precise ser específico como alegam as lojas, porque ferramentas poderiam automatizar o teste de e-mail em vários sites diferentes. Ou seja, não seria preciso verificar cada loja manualmente, porque um "robô" criminoso poderia fazer isso sozinho.

Para o especialista, mesmo que os bancos exijam os dados do cliente no boleto, responsabilidade pelas informações é de quem as armazena, ou seja, do e-commerce, e que esse princípio está previsto em diversas normas de segurança. Ele diz que cabe à loja verificar como seus sistemas interagem com terceiros (como o banco que gera o boleto), bem como defender sua rede de possíveis ataques usando as ferramentas adequadas, desde medidas legais (nos contratos de serviços) a medidas técnicas, como programas de gestão de vulnerabilidade e detecção de invasões.

A Associação Brasileira de Comércio Eletrônico (Abcomm) diz que não conhece nenhum tipo de fraude que consiga prejudicar o consumidor somente com posse do CPF e endereço. "Mesmo assim, consideramos que são dados sensíveis e devem ser protegidos não somente pelas lojas virtuais, mas também pelos próprios bancos", afirmou a associação. A Abcomm disse ainda que orientaria os demais associados sobre a prática e que desconhece outros sites ou plataformas de e-commerce que estejam adotando alguma função semelhante.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Quatro pesquisadores da Universidade da Califórnia em San Diego criaram um robô que realiza cadastros em sites com o intuito de descobrir quais sites foram alvos de hackers e tiveram seus dados obtidos por criminosos. Em um universo de 2.302 sites em que o robô se cadastrou, 19 tiveram suas contas comprometidas -- e nenhum deles veio a público com o vazamento.

Chamado "Tripwire", o robô criado pelos pesquisadores cria um par de cadastros: uma conta em um provedor de e-mail, e outra conta -- com a mesma senha -- em um site alvo da pesquisa. Se a conta de e-mail for acessada, isso significa que a senha usada pelo robô no site foi comprometida e, portanto, que o serviço foi alvo de hackers. Foi exatamente isso que aconteceu 19 vezes entre junho de 2015 e fevereiro de 2017.

Os pesquisadores também usaram um grupo de controle de contas exclusivas no provedor de e-mail usado para garantir que as senhas não vazaram do próprio serviço de e-mail.

Todos os sites envolvidos na pesquisa entre os 50 mil sites mais populares da web. Cinco dos 19 sites comprometidos estão entre os 10 mil sites mais populares do mundo, segundo os critérios do ranking da Alexa. Como a pesquisa foi realizada sem a autorização desses sites, os pesquisadores decidiram não revelar a identidade dos mesmos.

Segurança das senhas

Muitos sites não armazenam as senhas dos internautas, mas sim um código chamado de "hash". O hash é uma representação numérica da senha e é irreversível, o que significa que, mesmo no caso de uma invasão, os criminosos não conseguem ler as senhas dos usuários diretamente.

Apesar disso, é possível fazer um ataque de tentativa e erro para descobrir a senha associada a um hash. Por isso, os pesquisadores criaram pelo menos duas contas em cada site, uma fácil e outra difícil de quebrar em caso do uso de hashing. Dos 19 sites, 10 tiveram todas as senhas acessadas -- o que significa que eles não faziam uso de hashing ou usavam uma função de hashing muito fraca e não protegiam as senhas dos usuários de forma adequada.

Também é possível que outros sites na pesquisa tenham sido invadidos, mas que as senhas tenham permanecido inacessíveis por causa do uso de uma função de hash bastante complexa. Como o estudo teve por base o vazamento das senhas em si, esses vazamentos não foram detectados.

Tripwire

Tripwire é a palavra em inglês usada para indicar um fio ou corda que aciona um alarme ou armadilha. O nome do robô é uma referência à capacidade dele de detectar quando um dos sites envolvidos foi atingido por uma invasão.

Muitos dados vazados na web são obtidos por páginas clonadas ou programas espiões instalados nos computadores das vítimas. Como o robô não utiliza a web como um ser humano normal, as contas criadas pelo Tripwire, caso sejam comprometidas, certamente vieram de algum vazamento.

O código do robô Tripwire foi liberado para a realização de novas pesquisas, mas os pesquisadores desencorajam seu uso. No artigo científico escrito pelo grupo, eles também alertam que criminosos agora podem estar cientes desse truque e podem tentar identificar cadastros automáticos para não serem identificados em novas pesquisas com a mesma metodologia.

O artigo original, em inglês, pode ser lido aqui.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

A empresa de segurança brasileira Axur lançou o portal MinhaSenha.com para que internautas possam descobrir (e, de preferência, nunca mais usar) suas senhas que foram expostas em vazamentos de dados.

O serviço é grátis e exige apenas que o internauta digite o endereço de e-mail. As senhas enviadas são aquelas que estiverem associadas ao e-mail informado. Por segurança (por exemplo, se outra pessoa conseguiu acesso ao seu e-mail e tentou utilizar o serviço para descobrir suas senhas), o final das senhas é ocultado.

A Axur, criadora do serviço, se especializa em monitoramento de riscos digitais. A companhia monitora rotineiramente diversas plataformas, desde mídias sociais à "deep" ou "dark" web -- o submundo da rede -- para prestar os serviços que oferece aos seus clientes. São nesses mesmos ambientes que muitos dos vazamentos ocorrem. Ou seja, todas as senhas cadastradas pela Axur no MinhaSenha já estão nas mãos de hackers e foram publicadas na rede.

O MinhaSenha consulta vazamentos de mais de 300 sites (85 deles brasileiros) e 1,5 milhão de páginas e publicações que incluíam senhas. Segundo a Axur, 5% de todos esses dados vazados envolvem contas online de brasileiros.

Como o banco de dados do serviço inclui parte das senhas de muitas pessoas, a Axur garantiu que utiliza a mesma infraestrutura dos serviços críticos da empresa para abrigar o site. Além disso, nem mesmo o banco de dados do MinhaSenha inclui as senhas completas -- ela está no mesmo formato enviado por e-mail aos usuários, com a parte final da senha faltando.

Por que revelar a senha?

O MinhaSenha.com se diferencia do principal serviço de notificações de vazamento da web, o "Have I Been Pwned?" (HIBP), porque revela a senha vazada em si e não a fonte dos dados. Fábio Ramos, CEO da Axur, apresentou três razões para isso: a possibilidade de a senha ter sido esquecida pelo internauta, o efeito educativo de ver a senha exposta e a dificuldade em determinar a origem da senha em alguns dos vazamentos.

"Pouca gente lembra qual senha usava dois ou três anos atrás, quando aconteceu a maioria dos grandes vazamentos, mas, sabendo a senha, o usuário pode tomar a ação de alterá-la em todos os sistemas, apps e serviços digitais onde a mesma credencial é usada", afirmou Ramos, numa entrevista ao blog Segurança Digital.

SAIBA MAIS
Saiba se seus dados foram vazados com o 'have I been pwned?'
Vazamento expõe 1,7 milhão de senhas do site de imagens 'Imgur'
Site que diz se usuário teve dados vazados foi criado durante voo

Segundo Ramos, a empresa identifica vazamentos diários de fonte é incerta -- mesmo quando são atribuídos a alguma empresa, não é possível determinar se a informação é verdadeira. "Diariamente identificamos pequenos vazamentos (de 10 a 15 senhas) em posts da Deep Web. A origem nem sempre é confirmada e poderíamos colocar em risco a reputação de algumas empresas", explicou.

Alguns desses vazamentos, já observados pela coluna Segurança Digital, têm senhas que foram roubadas em ataques de phishing ou por vírus de compuador. Nesses casos, as senhas, embora pertençam a usuários de um determinado site, não estão expostas por um ataque contra o site, mas sim contra os próprios internautas.

Ramos disse que é possível usar o MinhaSenha como complemento ao HIBP, já que o HIBP vai apontar os vazamentos em que a senha está em "hash". Esses vazamentos não constam no banco de dados do MinhaSenha.




Enquanto o MinhaSenha.com exibe as senhas vazadas, Have I Been Pwned? exibe a fonte dos dados em que o e-mail foi encontrado. (Foto: Reprodução)

Senha com 'hash'

Muitos vazamentos de dados incluem a senha em formato criptografado ou em representação numérica irreversível ("hashing"). Quando a criptografia é fraca ou a fórmula de hashing é muito antiga, pode ser possível quebrar essa proteção, o que enfim revela a senha cadastrada pelo usuário.

Fórmulas usadas em proteção de senhas são mais fortes quando são mais lentas. Fórmulas antigas foram pensadas para computadores de sua época, e, portanto, são inadequadas por serem rápidas demais em computadores modernos.

Um exemplo é LinkedIn, que utilizava a fórmula de hashing MD5, de 1992. Essa fórmula é considerada extremamente frágil. Embora irreversível, o MD5 é tão antigo que os computadores modernos o calculam em uma velocidade impressionante, permitindo testar todas as combinações de letras e números até encontrar um valor idêntico ao que está no vazamento. Esses valores também já existem em tabelas pré-calculadas.

Alguns vazamentos, porém, incluem senhas protegidas com métodos adequados de criptografia. Nesse caso, a senha fica inacessível e o MinhaSenha não terá acesso a ela. É aí que outros serviços, como o "Have I Been Pwned?", levam vantagem. Como eles mostram apenas a fonte de dados e não a senha, eles ainda poderão informar você sobre esse vazamento -- mas você vai ter que saber qual era a sua senha no serviço para trocá-la em todos os demais locais em que ela foi usada.

Como a criptografia é sempre uma questão de tempo, é possível que senhas hoje seguras não permaneçam assim no futuro. Por isso, é ideal saber que uma senha pode ser exposta no futuro, ainda que hoje ela permaneça segura -- daí a utilidade de se conhecer um vazamento, mesmo que ele não tenha exposto sua senha ainda.

Siga a coluna no Twitter em @g1seguranca.

O Imgur, um dos maiores sites da web, reconheceu na sexta-feira (24) que uma invasão ocorrida em 2014 levou ao vazamento dos endereços de e-mail e senhas de 1,7 milhão de seus usuários.

O vazamento não era conhecido, mas os dados foram enviados ao especialista em segurança Troy Hunt, criador do site "Have I Been Pwned?", que notifica internautas expostos em vazamentos. Hunt entrou em contato com o Imgur para comunicá-los sobre a existência dos dados.

O pacote não inclui informações pessoais -- nem mesmo nomes --, porque o Imgur não solicita essas informações no cadastro. Porém, diferente de alguns outros vazamentos em que as senhas estavam criptografadas e inacessiveis, o arquivo do Imgur já está com as senhas decifradas, prontas para serem usadas.

A investigação do Imgur apontou que criminosos obtiveram as senhas em uma invasão, mas ainda não se sabe como ela ocorreu. Segundo um comunicado publicado pelo Imgur, as senhas foram expostas porque o Imgur utilizava uma proteção mais fraca para as senhas em 2014. Desde então, o site já adotou uma criptografia melhor, que teria impedido a obtenção das senhas.

Embora o volume do vazamento divulgado não seja muito grande quando comparado a outros vazamentos, o Imgur é um dos 50 maiores sites da web, segundo a Alexa. Estima-se que o serviço tenha 150 milhões de usuários ativos.

O Imgur é uma plataforma de compartilhamento de imagens bastante popular, pois permite que as imagens sejam baixadas diretamente por meio de outros sites, diferente de alguns serviços concorrentes.

Quem teve sua senha exposta já deve ter recebido um aviso do Imgur indicando a necessidade de uma troca de senha.

SAIBA MAIS
Site que diz se usuário teve dados vazados foi criado durante voo


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Um erro de programação expôs dados de clientes do serviço CloudFlare, entre os quais estão marcas como Uber, OkCupid, 1Password, Patreon e Medium. O problema, que ocorreu por um "vazamento de memória", dificulta a identificação de quais dados podem ter vazado e para quem, mas há indícios de que o problema tenha começado em setembro de 2016.

Ainda não se sabe quantos dos seis milhões de clientes da CloudFlare foram afetados, mas o provedor afirma que não há nenhum registro de que dados tenham sido usados de forma indevida.

A CloudFlare é um provedor de serviços de internet que atende sites e aplicativos. O provedor atua como intermediário na conexão entre o internauta e o provedor final do serviço ou do site, atuando como camada protetora no caso de ataques. O CloudFlare também realiza "caching" (armazenamento e repasse) de conteúdo, o que pode acelerar o acesso a páginas de internet e reduzir os custos de operação para os donos dos sites.

Por um erro de programação em um componente da CloudFlare, quem acessava um site protegido pelo CloudFlare podia receber não apenas os dados referentes à página acessada, mas também dados completos ou parciais de acessos de outros internautas.

Em outras palavras, um visitante a uma página A em qualquer site da CloudFlare podia receber, além da página A, também uma página B de outro site qualquer da CloudFlare que fora acessada por outro internauta. O usuário, então, teria acesso indevido aos dados desse outro internauta.

A página vazada podia conter dados sensíveis, como mensagens particulares e até informações sobre "cookies" - dados que podem ser usados para acessar uma conta em outro site, sem ter a senha.

O caso acabou batizado de "Cloudbleed", numa referência à brecha Heartbleed Assim como a Heartbleed, o "Cloudbleed" também ocorreu por um vazamento de memória. Uma imagem para representar a falha foi criada por um colaborador anônimo e publicada no bug tracker do Google (veja, em inglês).

A CloudFlare protege seis milhões de sites. Até o momento, três clientes da CloudFlare já se pronunciaram sobre o ocorrido: FastMail, Namecheap e 1Password. Todos afirmaram que não foram afetados pelo vazamento.

Remoção imediata de conteúdo
O problema foi percebido por um pesquisador do Google, Tavis Ormandy, no dia 17 de fevereiro. Engenheiros da CloudFlare agiram imediatamente para estancar a "sangria" de dados, enquanto Ormandy tentava identificar páginas indexadas pelo Google que estavam com dados vazados para remover essas páginas do índice de pesquisa e proteger os usuários afetados.

Os especialistas da CloudFlare logo se juntaram à Ormandy, tentando identificar locais em que dados vazados arquivados na web. A CloudFlare publicou um esclarecimento nesta quinta-feira (23), explicando todos os detalhes técnicos do incidente.

Cada serviço afetado pela CloudFlare terá de comunicar seus usuários. Nem todos os sites da CloudFlare podem ter sido afetados pelo erro. Segundo a CloudFlare, apenas 0,00003% dos acessos vazaram alguma informação, mas a empresa não divulgou o número total de acessos no período (setembro a fevereiro).

A coluna Segurança Digital tentou contato com a CloudFlare para solicitar esclarecimentos sobre o vazamento. Embora já estejam circulando recomendações para que todas as senhas sejam trocadas, é possível que não haja qualquer necessidade disso, dependendo do tipo de informação que foi vazada de quais medidas serão tomadas pelos sites.

Como o risco para cada usuário é muito baixo, a recomendação, por enquanto, é aguardar.

Foto: Cloudbleed / Divulgação / seclogodesigner

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A divulgação "acidental" das senhas de redes sociais do Portal Brasil e do Palácio do Planalto nesta terça-feira (10) evidencia a existência de alguns erros básicos e graves no gerenciamento de senhas por parte da Secretaria de Comunicação do governo brasileiro.

É bastante provável que o link para o documento com as senhas foi exposto por um erro de "CTRL-C / CTRL-V" (copiar e colar). O responsável pela publicação quis copiar um link, mas acabou não copiando ou copiou da aba errada do navegador, colando o link para o documento com as senhas.

Esse tipo de erro humano acontece, mas é para reduzir o impacto do erro nesses casos que são adotadas medidas de "defesa em profundidade". Mesmo que a única saída seja mesmo criar um documento com todas as senhas - algo questionável, pois existem soluções melhores -, nada justifica o documento com as senhas estar aberto para o público. No mínimo, o documento devia ter acesso restrito e exclusivo aos colaboradores ou administradores que necessitam do acesso a essas senhas. Repetindo: isso era o mínimo.

Compartilhamento de senhas
Quando é preciso compartilhar algum recurso (seja uma conta de e-mail ou uma conta de rede social), o compartilhamento da senha é a maneira mais rudimentar possível para alcançar esse objetivo. Em um ambiente ideal, a pessoa que de fato publica na conta não possui acesso à senha, justamente para evitar qualquer divulgação acidental.

O fato de que a planilha com as senhas estava aberta e que a mesma pessoa com acesso à publicação tinha acesso a essa planilha também é uma falha.

Quando é necessário que várias pessoas acessem uma mesma conta de rede social, existem ferramentas para equipes que cumprem essa função, sem que seja preciso que cada membro da equipe acesse a conta.

A manutenção de uma "planilha mestre" para compartilhar senhas - algumas senhas supostamente tinham até instruções como "não trocar a senha" - demonstra amadorismo e uma preferência pela conveniência no lugar da segurança.

E-mails de terceiros
Também chama atenção que, de acordo com a suposta planilha divulgada, a maioria das contas de redes sociais do Planalto estavam registradas com e-mails de provedores estrangeiros, como Google (Gmail) e Yahoo. O governo brasileiro possui uma infraestrutura própria para e-mails e, portanto, não precisa utilizar esses provedores.

Assim como o compartilhamento de senhas em uma planilha aberta, isso demonstra falta de orientação e preferência pela conveniência. É possível que o sistema de e-mails do governo brasileiro não seja tão fácil de usar ou seja burocrático para a criação de novos endereços, o que gera uma preferência pela utilização de provedores externos.

Ou pode ser ainda que essas contas foram criadas há muito tempo, ou foram criadas por uma agência contratada pelo governo, e até agora ninguém quis alterar os endereços para e-mails da rede do Planalto.

Isso torna o Planalto dependente da segurança desses serviços - uma segurança que ele não controla.

Senhas
As senhas que seriam usadas pela equipe, de acordo com uma suposta planilha vazada, também são ruins. Muitas delas seguem um "padrão", como substituir letras por números, e possuem o ano ou o nome do serviço como parte da senha. Essa não é uma prática aceitável: caso um hacker consiga obter uma única senha, ele pode seguir a mesma lógica para adivinhar outras senhas, mesmo que não tivesse acesso à planilha com todas elas.

Um vazamento como esse - que nos permite enxergar como uma instituição lida com seus procedimentos internos - é bastante raro. Às vezes, isso pode até gerar certa admiração, porque vemos que ao menos algumas coisas são feitas corretamente. Infelizmente, o que a Secretaria de Comunicação do Planalto mostrou com esse vazamento foi bem o contrário: uma soma de erros básicos e lamentáveis.

Com tantos erros, é preciso dizer: o vazamento das senhas não foi acidente. Foi tragédia anunciada.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]