Quem protege os guardiões de senhas? No último dia 13 de setembro, o popular gerenciador de senhas LastPass anunciou que consertou uma falha que dava condições à exposição de senhas de usuários da extensão para os navegadores Google Chrome e Opera. Não foram reportadas ocorrências de vítimas, mas a descoberta do bug mesmo em um “cofre de senhas” é mais um importante alerta sobre a complexidade do gerenciamento da segurança de credenciais.
Entendendo a falha no LastPass
Em resumo, o cenário (hipotético) de exposição dos dados aconteceria assim: um usuário preencheria sua senha com o LastPass em algum site e, depois, ao visitar um segundo site – malicioso – teria sua senha capturada, pois a extensão seria enganada a preencher a senha utilizada anteriormente.
O problema foi descoberto no dia 29 de agosto pelo Google Project Zero, uma iniciativa focada em encontrar vulnerabilidades zero-day (falhas graves e consideradas urgentes, que podem ser silenciosamente exploradas por hackers), que então fez o alerta ao LastPass.
No anúncio oficial, o LastPass disse que o erro foi consertado e que todas as extensões do gerenciador já estão atualizadas para a versão 4.33.0. Mas, se você desabilita as atualizações automáticas, é muito importante fazer uma checagem, claro.
Proteção de senha: um conjunto de práticas
O comunicado oficial do LastPass também orientou os usuários a reforçarem boas práticas de segurança e proteção na hora da navegação. A primeira e principal das recomendações não é uma surpresa: atentar-se a phishings. Afinal, são essas páginas falsas e/ou invadidas que levam à captura dos dados em um caso como este.
E, ainda que um gerenciador de senhas seja muito recomendado (e não deva ser deixado de lado!), não custa notar que outras camadas e formas de proteção para as senhas são hoje essenciais. Essas recomendações foram, inclusive, também apontadas pelo próprio LastPass.
Assim, são outras boas técnicas de proteção: a utilização da autenticação de dois fatores (2FA) e, claro, a atenção para não utilizar a mesma senha em mais de um site. Como já falamos por aqui, é pela prática do credential stuffing (que é o uso criminoso dos chamados checkers) que são descobertos os sites ou aplicações onde os criminosos podem usar as credenciais vazadas. Alguns desses checkers testam listas com milhões de credenciais vazadas contra centenas de serviços digitais, como companhias aéreas, varejo online, etc.
Para pensar além do comportamento de usuário
É essencial que o comportamento humano seja levado em consideração na hora de avaliar formas de proteger seus consumidores contra os variados – e cada vez mais sofisticados – crimes on-line. Isso se deve ao fato de que os cibercriminosos são experts em utilizar recursos psicológicos, como engenharia social associada a personificações ou uso indevido de uma marca.
Ainda que esse ponto seja discutível pois o crime cibernético acontece fora do ambiente da empresa, entende-se que a empresa deve ser responsável por proteger seus usuários sempre que eles acreditarem estar se relacionando com sua marca.
Vamos a um exemplo prático (e não raro): um grupo de cibercriminosos lança um ataque massivo para captura de credenciais e utiliza um perfil falso em rede social que utiliza a sua marca.
É possível que esse evento seja interpretado como uma falha da empresa em proteger sua presença digital, e consequentemente sejam aplicadas sanções já previstas em lei – a GDPR (General Data Protection Regulation) e a LGPD (Lei Geral de Proteção de Dados) estão aí. A GDPR, aliás, já aplicou uma multa milionária à British Airways em 2019.
Outro grande vazamento deste ano foi o do banco norte-americano Capital One, que afetou 106 milhões de pessoas. O grande fato desse caso foi que, mesmo antes da descoberta dos dados, foram também vistas instruções para acesso à falha hospedadas no repositório GitHub – deixando clara e pública a incapacidade da empresa em monitorar seu footprint digital.
O que isso diz sobre um caso como o do LastPass? Que existe intrínseca relação entre um bom desenvolvimento de aplicações/códigos e o monitoramento das informações que podem expor os dados sensíveis que uma empresa deve proteger. Parece óbvio, mas toda proteção é essencial – e o gerenciamento de riscos deve abordar as tantas etapas de um processo criminoso on-line.
Agindo proativamente em caso de vazamentos
De fato, falar em vazamentos de senhas pode ser a causa de muitos calafrios para qualquer um. Pensando nisso, uma boa dica para se certificar de que suas preciosas credenciais não foram expostas é o MinhaSenha.
O site possui uma base composta por grandes e microvazamentos (estes mais espontâneos e diários) e, além de apontar quais senhas foram vazadas – com tarjas, para segurança –, também alerta em caso de futuras ocorrências. É possível, ainda, conferir vazamentos de credenciais corporativas e o número de ocorrências de um mesmo domínio.
E, se você tem interesse em proteger a presença digital de sua empresa, pode também ser interessante contar com formas robustas de monitoramento: o Axur One possui proteção 24x7 contra riscos digitais, com o uso de milhares de BOTs e técnicas de inteligência artificial. Confira nossa solução para vazamentos de credenciais de clientes e também a solução de Threat Intelligence, para monitorar movimentações criminosas em deep e dark web.
Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!