Um dos grandes medos de todos que utilizam serviços online é ter dados expostos na internet, são incontáveis vazamentos de senha somente nos últimos meses. Ao fazerem compras pela web ou se cadastrarem em serviços, os usuários confiam que a empresa armazenará os dados em seguranças, mas nem sempre é isso o que acontece.
Os vazamentos de senha são mais comuns do que muita gente imagina. Senhas e outros dados sensíveis de usuários são expostos na internet diariamente. O que muda é o tamanho dessas divulgações: alguns vazamentos de senha têm apenas 10 credenciais e mal repercutem na mídia, apesar de causarem muita dor de cabeça para as empresas, enquanto outras têm centenas de milhares.
Um dos casos mais recentes que afetou internautas brasileiros foi o vazamento de dados confidenciais de clientes da Netshoes. Segundo o Ministério Público, cerca de 2 milhões de usuários tiveram dados sensíveis divulgados na internet.
Como esses vazamentos de senha acontecem?
Os principais responsáveis são as falhas nos sites das empresas e sistemas de segurança. Através dessas brechas, criminosos conseguem acessar bancos de dados protegidos e roubar os dados sensíveis. Por exemplo, cada loja de e-commerce tem um banco de dados com as informações que cada cliente usou para se cadastrar no site. Se alguém descobrir uma falha que permita extrair todos esses dados, é possível ter acesso a todas as informações pessoais dos clientes.
Outra forma muito comum de roubo de dados sensíveis é o phishing. Essa prática consiste na divulgação de uma página falsa, mas muito semelhante às páginas verdadeiras de serviços como e-commerce, bancos, fintechs, redes sociais e outros. Uma vez que o usuário cai nessa armadilha e insere os dados na página, as informações compartilhadas vão direto para as mãos dos criminosos.
Ainda existe uma terceira ferramenta muito utilizada para o roubo de credenciais: os malwares, vírus que infectam computadores e celulares e conseguem acesso a todas as senhas inseridas a partir desse dispositivo. Um computador infectado, por exemplo, registra todas as senhas colocadas nele, desde o Facebook ao internet banking, e as envia para terceiros. Na prática, a ação dos malwares é parecida com a do phishing, mas com um poder de destruição maior.
Enquanto as lojas e sistemas online evoluem para facilitar cada vez mais a experiência do usuário, os criminosos também aperfeiçoam as técnicas para aproveitar as novas lacunas. Agora, as contas de e-commerce mais visadas são aquelas que têm a opção “one-click” ativada, ou seja, em que o cliente já tem informações do cartão de crédito armazenadas no sistema e pode fazer compras com apenas um clique.
Cenário_
A cada vez que mais recursos são adicionados, a superfície de ataque é aumentada. Quanto maior o número de recursos, potenciais falhas e vulnerabilidades são criadas por consequência. Por mais que as empresas se preocupem com proteção, as vulnerabilidades seguem sendo um grande problema. Embora a empresa possa ter um processo de proteção, sempre vai ter uma falha.
Por isso, uma prática comum entre empresas do exterior é o bug bounty, uma espécie de programa em que hackers são incentivados a invadir sistemas e pagos para encontrar falhas. Além disso, outra medida que pode ajudar a mitigar riscos e prejuízos é a identificação e resposta rápida a crises de segurança: quanto mais rápido a empresa identificar que está com a segurança comprometida, maiores são as chances de diminuir os danos.
Na prática, todo mundo que usa serviços online está exposto. Os riscos vão além dos vazamentos de senha: mesmo sem as credenciais dos clientes, fraudadores podem usar dados como nome, data de nascimento e nomes dos pais para estelionatos. Ainda, é possível abrir uma conta em banco com documentos falsos. Os bancos tentam identificar, mas às vezes passa.
Outro perigo real é o vazamento de dados de cartão de crédito. Com informações cruciais, como o nome impresso no cartão, número, data de validade e código de segurança, qualquer pessoa pode fazer compras pela internet sem mesmo saber a senha.
Como evitar os vazamentos?
Para se proteger desses crimes, os usuários podem tomar medidas simples, como evitar se cadastrar em vários sites para diminuir a superfície de ataque. Usar senhas diferentes em diferentes plataformas e evitar deixar dados de cartão de crédito salvos em bancos de dados também ajudam na proteção.
Mesmo o usuário seguindo todas as precauções de segurança, a grande responsabilidade acaba sendo das empresas que guardam esses dados sensíveis. Para proteger as credenciais dos clientes, elas devem aperfeiçoar cada vez mais os sistemas de segurança. Uma das medidas mais efetivas é informar os clientes assim que os dados fossem vazados. Se a empresa sabe que o login vazou, ela pode bloquear essa conta e as compras até o cliente fazer uma confirmação por e-mail ou telefone. Assim, ela protege os dados dos clientes e se protege contra compras fraudulentas. As empresas devem agir em duas frentes: deixar seus sistemas seguros e monitorar o que está acontecendo para tomar as ações necessárias para quando ocorre esse tipo de vazamento de dados.
Especialista convidado_
Eduardo Schultze
Coordenador do CSIRT da Axur, formando em Segurança da Informação pela UNISINOS - Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware.
Researcher, formado engenheiro de Computação pela Universidade Federal do Rio Grande, mestrando em Cybersecurity na Stevens Institute of Technology. Ex-integrante do time de Anti-Fraude e CSIRT da Axur. Atua agora na área de Pesquisa, onde desenvolve trabalhos nas áreas de análise de malwares, fraudes e tendências.