sábado, 18 de julho de 2009

Invasão do Twitter alerta para a segurança das senhas web

Olá,

Claire Cain Miller e Brad Stone
Seria de imaginar que basta uma senha para proteger a informação confidencial armazenada em sites de internet. Mas, como descobriram os executivos do Twitter, essa pode ser uma suposição perigosa. Na quarta-feira, a web estava tomada por rumores depois que surgiu a informação de que um hacker havia exposto informações sigilosas do Twitter, obtidas por meio da invasão da conta de e-mail de um funcionário do grupo. A violação causou preocupação tanto entre os usuários individuais quanto entre os empresariais da web, quanto à segurança das senhas usadas para proteger as informações confidenciais que eles armazenam na web.

Em sites que armazenam informações pessoais como e-mails, dados financeiros ou documentos, em geral a única proteção é um nome de usuário e senha. A maioria das pessoas está hoje armazenando informações em servidores da web, nos quais elas estão acessíveis a qualquer computador conectado, por meio de serviços oferecidos pelo Google, Amazon, Microsoft, redes sociais como o Facebook e serviços de backup como o Mozy.
Mas os sites protegidos por senhas estão se tornando vulneráveis porque para conseguir controlar o número crescente de senhas que precisam empregar, as pessoas tendem a usar os mesmos códigos, bastante simples, em numerosos sites da web. Em estudo conduzido no ano passado, o grupo de segurança na computação Sophos constatou que 40% dos usuários de internet utilizam a mesma senha em todos os sites que visitam regularmente.
O ataque ao Twitter coloca esse problema em destaque. Para seus documentos internos, a empresa utiliza uma versão empresarial do Google Apps, um serviço que o Google oferece gratuitamente a usuários individuais. O Google Apps oferece e-mail, um processador de texto, um programa de planilhas, e software de agenda, tudo isso disponível via web.
O conteúdo fica armazenado nos servidores do Google, o que pode servir para economizar dinheiro e evitar dificuldades, e para permitir que funcionários trabalhem juntos em documentos. Um hacker que invada a conta de uma pessoa ganhará acesso a informações que esta compartilhe com amigos, parentes ou colegas de trabalho, o que foi exatamente o acontecido no Twitter.
A violação na segurança do Twitter aconteceu cerca de um mês atrás, de acordo com a empresa. Um hacker que usa o pseudônimo Hacker Croll conseguiu invadir a conta de e-mail de um funcionário do setor administrativo da empresa, e ganhou acesso à conta dele no Google Apps, que o Twitter utiliza para acesso compartilhado a planilhas e documentos contendo ideias de negócios e detalhes financeiros, de acordo com Biz Stone, um dos co-fundadores do Twitter.
O hacker enviou documentos sobre os planos e finanças da empresa, contratos confidenciais e candidatos a empregos a dois blogs de notícias tecnológicas, o TechCrunch, no Vale do Silício, e o Korben, na França. Também havia informações pessoais sobre funcionários do Twitter, entre as quais números de cartão de crédito. O hacker também conseguiu invadir a conta de e-mail da mulher de Evan Williams, o presidente-executivo do Twitter, e por meio dela ganhou acesso a diversas das contas pessoais de Williams na internet, entre as quais as da Amazon.com e PayPal, disse Stone.
O TechCrunch revelou documentos que demonstram que o Twitter, uma empresa de capital fechado, continua a não ter receita, até o momento, mas projeta que atingirá um bilhão de usuários e receita anual de US$ 1,54 bilhão em 2013.
Michael Arrington, fundador do TechCrunch, disse em entrevista que o hacker também lhe havia enviado documentos detalhados de estratégia sobre possíveis modelos de negócios, a ameaça competitiva do Facebook e o momento em que a empresa poderá ser adquirida.
Alguns analistas afirmam que a violação sublinha o quanto pode ser perigoso para pessoas e empresas manter documentos sigilosos armazenados em servidores de web, ou "na nuvem", o termo usado para essa forma de computação.
Mas Stone declarou que o ataque "não se relaciona a defeitos em aplicativos de web", e sim a uma questão mais ampla que afeta tanto empresas quanto usuários individuais. "Isso mostra como é importante seguir procedimentos sólidos de segurança pessoal, como escolher senhas fortes", ele disse.
Em lugar de superar as barreiras de segurança, aparentemente o hacker do Twitter conseguiu responder corretamente às perguntas pessoais que o Gmail faz a seus usuários para permitir que alterem suas senhas. "Muito dos usuários do Twitter estão de certa maneira vivendo suas vidas sob os olhos do público", disse Chris King, diretor de marketing de produtos da Palo Alto Networks, uma empresa que desenvolve firewalls. "Se você transmite todos os detalhes sobre o nome do seu cachorro e em que cidade vive, não é difícil adivinhar uma senha".
Especialistas em segurança aconselham usuários a escolher senhas únicas e complexas para cada serviço de web que utilizem, e que incluam múltiplos caracteres e uma mistura de números e letras. Programas gratuitos de administração de senhas, como o KeePass e o 1Password podem ajudar as pessoas a manter o controle das senhas que utilizam em diferentes sites.
Andrew Storms, diretor de operações de segurança da nCircle, uma empresa de segurança de redes, sugeriu escolher respostas falsas para perguntas como "qual foi seu primeiro número de telefone", ou criar perguntas obscuras, em lugar das questões padronizadas propostas pelos sites. (É claro que isso acarreta o problema de ter de memorizar a informação falsa.)
No caso de empresas, o Google permite que os administradores da companhia estabeleçam regras quanto à dificuldade das senhas e acrescentem ferramentas adicionais de confirmação, tais como códigos individuais.
O hacker do Twitter alega que desejava ensinar as pessoas a tomar mais cuidado. Em mensagem ao blog Korben, ele escreveu que seu ataque poderia "conscientizar os usuários de que ninguém está seguro na Net".

Sigam-me:
@thorbrazil

Nenhum comentário: