Artigo – eHarmony Linkedin e vazamento de

Precisamos mesmo cuidar das nossas senhas?
Nos últimos dias todos nós fomos informados do vazamento de senhas do Last.fm, 6,5 milhões de
senhas do Linkedin, rede social para profissionais, e 1,5 milhão de senhas do eHarmony, um dos
principais sites de “dating”, namoros, encontros e relacionamentos do mundo.
No caso das redes sociais Linkedin e eHarmony, as senhas estavam “hasheadas” ou “cifradas”, mas
ao que parece isso não foi óbice para que parte do texto plano viesse à tona. O problema é que
muitos afirmam que um mero ataque de dicionários foi suficiente para quebrar as senhas. Não é
bem assim e isto não corresponde a realidade... Para quebra de senhas com hash aplicado e com
salt, um ataque de dicionário não seria plenamente eficaz (Talvez utilizando rainbow table seria o
adequado).
No caso Linkedin, as informações publicadas em um site russo exibiam só as senhas, dissociadas de
nomes de usuário, que em tal rede rede é o e-mail do usuário. A empresa usa este argumento em seu
blog para dizer que os usuários estão seguros. Mas, quem garante que os atacantes não tiveram
acesso a outros dados?
Não faz sentido uma cópia criminosa apenas do campo senha e a nós mais parece alguma gota de
sobriedade dos atacantes em não publicarem integralmente as credenciais para acesso, evitando
danos aos usuários, eis que o escopo mor aparentemente seria expor a insegurança das redes sociais.
Sem compreender o evento, “empresas especializadas” começaram a divulgação de notas, onde
informavam que as causas dos eventos eram a péssima cultura da segurança do lado dos usuários,
que não trocam senhas, cadastram termos simples e as armazenam em qualquer local do
computador. Empresas respeitadas, apresentando teorias no mínimos questionáveis para o que
ocorreu e sugerindo senhas fortes.
Será mesmo só isso?
Em verdade, não precisa ser da área para constatar que 8 milhões de senhas não vazam por trojans
instalados em cada um dos usuários, ou por 8 milhões de usuários desatentos que permitem o
vazamento de seus dados ou cadastram senhas fáceis! Não. A inércia, negligência e despreparo,
aqui, é das próprias redes sociais, que nitidamente permitiram seus bancos de dados fossem
devassados parcialmente, invadidos por criminosos digitais.
Deste modo, não existe relação direta entre os ataques às redes sociais e a suposta “ignorância” dos
usuários, mas isso sim, é boa tese jurídica, para tentar desviar o foco das responsabilizações civis
decorrentes da exposição de dados de milhões de pessoas. Em verdade, logicamente, de posse das
senhas embaralhadas (cifradas) a quebra seria em tese mais fácil para senhas fracas e esta seria a
quota de responsabilidade dos usuários (cuidar para que seus perfis tivessem senhas fortes). Mas
convenhamos, se estão tentando descriptografar senhas é porque obtiveram acesso a elas, o que por
si só, gera responsabilidade das redes sociais.
Se o Anteprojeto de Lei de Proteção de Dados Pessoais estivesse em vigor no Brasil, estaríamos
diante de casos que deveriam ser comunicados ao Conselho Nacional de Proteção de Dados
Pessoais (Autoridade de garantia), e principalmente, de responsabilidade objetiva no tratamento de
dados pessoais, inclusive dados sensíveis, sendo que as empresas, por manipularem dados de
brasileiros, deveriam responder na justiça pelas medidas reparatórias, sem prejuízo das multas
cabíveis e aplicadas pela Autoridade de Garantia. Infelizmente, em ano eleitoral, não se alimenta
muita esperança de ver tal anteprojeto ingressar no Congresso e convalidar-se em Lei. Ainda, no
Brasil, estamos expostos e desprotegidos em relação a proteção de nossa privacidade digital. Se a
Constituição garante o direito a intimidade e vida privada, na prática, temos que nos valer de Leis
obsoletas para enquadrar as agressões digitais à privacidade, cada dia mais recorrentes.
Tal cenário nos demonstra um fato. Não precisamos somente que redes sociais criem manuais para
que usuários possam compor senhas fortes, mas que empresas que tratam dados pessoais respeitem
usuários, pesquisadores e hackers, e realmente invistam em segurança da informação e hardening,
inclusive com testes periódicos de intrusão. Precisamos igualmente de garantias ao cidadão, que o
possibilite acesso à justiça e a reparação, quando não por sua culpa exclusiva, perder o controle de
seus dados pessoais, confiados a terceiros.
José Antonio Milagre é Perito e Advogado especializado em Tecnologia da
Informação
Twitter: http://www.twitter.com/periciadigital E
m
a
i
l
[email protected] Site: www.legaltech.com.br
Face:
http://
www.facebook.com/josemilagre