A divulgação "acidental" das senhas de redes sociais do Portal Brasil e do Palácio do Planalto nesta terça-feira (10) evidencia a existência de alguns erros básicos e graves no gerenciamento de senhas por parte da Secretaria de Comunicação do governo brasileiro.

É bastante provável que o link para o documento com as senhas foi exposto por um erro de "CTRL-C / CTRL-V" (copiar e colar). O responsável pela publicação quis copiar um link, mas acabou não copiando ou copiou da aba errada do navegador, colando o link para o documento com as senhas.

Esse tipo de erro humano acontece, mas é para reduzir o impacto do erro nesses casos que são adotadas medidas de "defesa em profundidade". Mesmo que a única saída seja mesmo criar um documento com todas as senhas - algo questionável, pois existem soluções melhores -, nada justifica o documento com as senhas estar aberto para o público. No mínimo, o documento devia ter acesso restrito e exclusivo aos colaboradores ou administradores que necessitam do acesso a essas senhas. Repetindo: isso era o mínimo.

Compartilhamento de senhas
Quando é preciso compartilhar algum recurso (seja uma conta de e-mail ou uma conta de rede social), o compartilhamento da senha é a maneira mais rudimentar possível para alcançar esse objetivo. Em um ambiente ideal, a pessoa que de fato publica na conta não possui acesso à senha, justamente para evitar qualquer divulgação acidental.

O fato de que a planilha com as senhas estava aberta e que a mesma pessoa com acesso à publicação tinha acesso a essa planilha também é uma falha.

Quando é necessário que várias pessoas acessem uma mesma conta de rede social, existem ferramentas para equipes que cumprem essa função, sem que seja preciso que cada membro da equipe acesse a conta.

A manutenção de uma "planilha mestre" para compartilhar senhas - algumas senhas supostamente tinham até instruções como "não trocar a senha" - demonstra amadorismo e uma preferência pela conveniência no lugar da segurança.

E-mails de terceiros
Também chama atenção que, de acordo com a suposta planilha divulgada, a maioria das contas de redes sociais do Planalto estavam registradas com e-mails de provedores estrangeiros, como Google (Gmail) e Yahoo. O governo brasileiro possui uma infraestrutura própria para e-mails e, portanto, não precisa utilizar esses provedores.

Assim como o compartilhamento de senhas em uma planilha aberta, isso demonstra falta de orientação e preferência pela conveniência. É possível que o sistema de e-mails do governo brasileiro não seja tão fácil de usar ou seja burocrático para a criação de novos endereços, o que gera uma preferência pela utilização de provedores externos.

Ou pode ser ainda que essas contas foram criadas há muito tempo, ou foram criadas por uma agência contratada pelo governo, e até agora ninguém quis alterar os endereços para e-mails da rede do Planalto.

Isso torna o Planalto dependente da segurança desses serviços - uma segurança que ele não controla.

Senhas
As senhas que seriam usadas pela equipe, de acordo com uma suposta planilha vazada, também são ruins. Muitas delas seguem um "padrão", como substituir letras por números, e possuem o ano ou o nome do serviço como parte da senha. Essa não é uma prática aceitável: caso um hacker consiga obter uma única senha, ele pode seguir a mesma lógica para adivinhar outras senhas, mesmo que não tivesse acesso à planilha com todas elas.

Um vazamento como esse - que nos permite enxergar como uma instituição lida com seus procedimentos internos - é bastante raro. Às vezes, isso pode até gerar certa admiração, porque vemos que ao menos algumas coisas são feitas corretamente. Infelizmente, o que a Secretaria de Comunicação do Planalto mostrou com esse vazamento foi bem o contrário: uma soma de erros básicos e lamentáveis.

Com tantos erros, é preciso dizer: o vazamento das senhas não foi acidente. Foi tragédia anunciada.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]