Artigo – eHarmony Linkedin e vazamento de
Transcrição
Artigo – eHarmony Linkedin e vazamento de
Precisamos mesmo cuidar das nossas senhas? Nos últimos dias todos nós fomos informados do vazamento de senhas do Last.fm, 6,5 milhões de senhas do Linkedin, rede social para profissionais, e 1,5 milhão de senhas do eHarmony, um dos principais sites de “dating”, namoros, encontros e relacionamentos do mundo. No caso das redes sociais Linkedin e eHarmony, as senhas estavam “hasheadas” ou “cifradas”, mas ao que parece isso não foi óbice para que parte do texto plano viesse à tona. O problema é que muitos afirmam que um mero ataque de dicionários foi suficiente para quebrar as senhas. Não é bem assim e isto não corresponde a realidade... Para quebra de senhas com hash aplicado e com salt, um ataque de dicionário não seria plenamente eficaz (Talvez utilizando rainbow table seria o adequado). No caso Linkedin, as informações publicadas em um site russo exibiam só as senhas, dissociadas de nomes de usuário, que em tal rede rede é o e-mail do usuário. A empresa usa este argumento em seu blog para dizer que os usuários estão seguros. Mas, quem garante que os atacantes não tiveram acesso a outros dados? Não faz sentido uma cópia criminosa apenas do campo senha e a nós mais parece alguma gota de sobriedade dos atacantes em não publicarem integralmente as credenciais para acesso, evitando danos aos usuários, eis que o escopo mor aparentemente seria expor a insegurança das redes sociais. Sem compreender o evento, “empresas especializadas” começaram a divulgação de notas, onde informavam que as causas dos eventos eram a péssima cultura da segurança do lado dos usuários, que não trocam senhas, cadastram termos simples e as armazenam em qualquer local do computador. Empresas respeitadas, apresentando teorias no mínimos questionáveis para o que ocorreu e sugerindo senhas fortes. Será mesmo só isso? Em verdade, não precisa ser da área para constatar que 8 milhões de senhas não vazam por trojans instalados em cada um dos usuários, ou por 8 milhões de usuários desatentos que permitem o vazamento de seus dados ou cadastram senhas fáceis! Não. A inércia, negligência e despreparo, aqui, é das próprias redes sociais, que nitidamente permitiram seus bancos de dados fossem devassados parcialmente, invadidos por criminosos digitais. Deste modo, não existe relação direta entre os ataques às redes sociais e a suposta “ignorância” dos usuários, mas isso sim, é boa tese jurídica, para tentar desviar o foco das responsabilizações civis decorrentes da exposição de dados de milhões de pessoas. Em verdade, logicamente, de posse das senhas embaralhadas (cifradas) a quebra seria em tese mais fácil para senhas fracas e esta seria a quota de responsabilidade dos usuários (cuidar para que seus perfis tivessem senhas fortes). Mas convenhamos, se estão tentando descriptografar senhas é porque obtiveram acesso a elas, o que por si só, gera responsabilidade das redes sociais. Se o Anteprojeto de Lei de Proteção de Dados Pessoais estivesse em vigor no Brasil, estaríamos diante de casos que deveriam ser comunicados ao Conselho Nacional de Proteção de Dados Pessoais (Autoridade de garantia), e principalmente, de responsabilidade objetiva no tratamento de dados pessoais, inclusive dados sensíveis, sendo que as empresas, por manipularem dados de brasileiros, deveriam responder na justiça pelas medidas reparatórias, sem prejuízo das multas cabíveis e aplicadas pela Autoridade de Garantia. Infelizmente, em ano eleitoral, não se alimenta muita esperança de ver tal anteprojeto ingressar no Congresso e convalidar-se em Lei. Ainda, no Brasil, estamos expostos e desprotegidos em relação a proteção de nossa privacidade digital. Se a Constituição garante o direito a intimidade e vida privada, na prática, temos que nos valer de Leis obsoletas para enquadrar as agressões digitais à privacidade, cada dia mais recorrentes. Tal cenário nos demonstra um fato. Não precisamos somente que redes sociais criem manuais para que usuários possam compor senhas fortes, mas que empresas que tratam dados pessoais respeitem usuários, pesquisadores e hackers, e realmente invistam em segurança da informação e hardening, inclusive com testes periódicos de intrusão. Precisamos igualmente de garantias ao cidadão, que o possibilite acesso à justiça e a reparação, quando não por sua culpa exclusiva, perder o controle de seus dados pessoais, confiados a terceiros. José Antonio Milagre é Perito e Advogado especializado em Tecnologia da Informação Twitter: http://www.twitter.com/periciadigital E m a i l [email protected] Site: www.legaltech.com.br Face: http:// www.facebook.com/josemilagre
Documentos relacionados
Last.fm alerta para vazamento de senhas e
A confirmação do Last.fm ocorre um dia após a rede social LinkedIn e o site de relacionamento eHarmony confirmarem que tiveram informações sobre senhas de usuários publicadas em um fórum russo. Na ...
Leia mais