É o maior roubo de senhas na Internet até o momento. Uma rede de grupos criminosos russos, dedicados ao cibercrime, conseguiu roubar mais de 1,2 bilhão de nomes de usuários com suas respectivas senhas e mais 500 milhões de endereços de e-mail. Alex Holden, fundador da Hold Security, uma empresa de segurança de tecnologia da informação com sede em Milwaukee, e que descobriu a falha de segurança, disse ao EL PAÍS que o material roubado pertence a 420.000 páginas web em todo mundo. Ele participa do encontro anual de segurança Black Hat, em Las Vegas.
A invasão afeta tanto a pequenas empresas como outras de grande porte dedicadas a oferecer serviços de internet. A pedido do The New York Times, um especialista que não trabalha para Hold Security verificou a autenticidade de todas as senhas e dados relevantes roubados.
O diretor da Hold Security é um velho conhecido no mundo da blindagem cibernética. Há um ano denunciou o roubo de vários milhões de senhas da Adobe, empresa fornecedora de programas de design para a Internet, como o Photoshop.
Com o pagamento pelo uso de programas online e as criações armazenadas em nuvem, as implicações desse tipo de crime são mais relevantes. No caso da Adobe, foram colocados em risco tanto os números de cartões de crédito como a propriedade intelectual dos usuários.
Mas no novo caso de roubo de dados sensíveis revelado nesta quarta-feira, o alerta vai além do conhecido até agora. A maioria dos afetados desconhece que seus dados estão nas mãos de criminosos e não fizeram nada ainda para solucionar o problema.
Mercado negro
A intenção de Holden é criar uma ferramenta gratuita para que os responsáveis das páginas atacadas sejam os que verifiquem a invasão e possam alertar seus clientes. Desde o caso Heartbleed, que surgiu a partir de um erro de programação e que deixava algumas páginas vulneráveis, não havia ocorrido uma falha de segurança de tal tamanho.
Holden chegou aos Estados Unidos em 1989 e trabalha como consultor de segurança há quatro anos. Dedicou-se a este caso nos últimos sete meses sem esperar nenhuma recompensa. “Sei que depois de divulgá-lo vou ter várias conversas com o FBI, mas isso é natural. Só queria dar o aviso e demonstrar meus conhecimentos. Agora é preciso cooperar para tranquilizar os usuários e donos de empresas”. O especialista se nega a identificar as empresas afetadas, embora revele que não são apenas dos Estados Unidos.
Jaime Blasco (Madrid, 1986), diretor da AlienVault, empresa de segurança com sede em San Francisco, explica como os ladrões de senha trabalham: “Colhem as credenciais de e-mail, Twitter, serviços de redes sociais e depois entram em suas bases de dados”.
Ángel Prado, diretor de segurança da gestora de bases de dados de clientes Salesforce, dá algumas pistas: “Embora o roubo de senhas não seja algo extremamente inovador, o número de credenciais roubadas não tem precedentes. O modus operandi desses indivíduos é buscar vulnerabilidades em páginas web de forma automatizada e extrair informações sensíveis de diferentes bases de dados. Dependendo de como as credenciais estejam armazenadas (texto simples ou criptografadas) e do algoritmo utilizado em cada caso, será mais ou menos simples recuperar as senhas originais. Uma vez feito isso, poderão validá-las e testá-las em vários sites de perfil elevado (bancos, e-mails, sites de comércio eletrônico etc)”.
O que mais preocupa Prado é o uso que possa ser feito com esses dados. “Um grupo com essas características com acesso a 1,2 bilhão de possíveis senhas terá capacidade de construir algoritmos e encontrar padrões no longo prazo que gerem métodos de decodificação mais aperfeiçoados”.
Alberto García, antes um pirata da informática, agora é companheiro de Prado. Em sua opinião, esses tipos de ataques “não são sofisticados, já que nem sequer os próprios criminosos encontraram falhas, mas se nutrem de sistemas desatualizados ou de códigos desenvolvidos por outras pessoas. O problema é que não é preciso nenhum nível de sofisticação para poder fazer uso desses códigos e roubar dados de milhões de pessoas. Não é algo que surpreenda os técnicos, mas às pessoas alheias a este mundo chama muito a atenção”.
Nos Estados Unidos, um ataque parecido ao revelado agora fez com o que o responsável máximo de segurança da rede de varejo Target perdesse o cargo. Blasco acredita ser possível que seja o mesmo grupo. “Não são apenas russos, mas diferentes grupos que operam na zona. No mercado negro vendem por peso, não é muito caro, embora prefira não dar preços. Em fóruns especializados, vendem um milhão de credenciais do Gmail como um pacote”.
Isto quer dizer que a Rússia está livre do ataque. O próprio Holden, que manteve contato com o grupo de cibercriminosos, descarta uma conexão entre o Governo de Putin e os malfeitores, mas diz que estão localizados entre a Rússia, Cazaquistão e Mongólia.
***
Como navegar de forma segura
Blasco acredita que possa fazer muito pouco nessas situações. Como precaução recomenda adotar rotinas que tornem a navegação mais segura: “Uma boa medida é trocar as senhas a cada duas semanas e não repeti-las entre diferentes serviços. Se roubam uma e a testam em mais sites, obterão toda a informação. É senso comum, mas quase nunca se evita”. Nessa mesma linha recomenda testar, sempre que se ofereça, a autenticação em dois passos: “O Gmail oferece isso. A senha é inserida com o teclado, normalmente, e depois chega um SMS no celular e é preciso digitar o código temporário enviado. Para atacar alguém seria preciso ter a senha, mas também seu telefone, o que reduz as possibilidades de infração”.
Prado lamenta a vulnerabilidade dos usuários e dá uma recomendação semelhante: “É preciso evitar repetir as senhas. No mínimo, devemos adotar vários anéis de segurança: uma senha complexa e específica para nosso e-mail pessoal; outra para o banco eletrônico, e outra para compras online, e outras para diferentes grupos de páginas habituais (blogs, comunidades online etc.). Desse modo, se um servidor ou base de dados é atacada por uma falha de segurança, nossa identidade principal não será afetada”.
“Não é preciso entrar em pânico”, insiste Holden, “se mudaram as senhas como se deve fazer, é possível que as que estejam com eles já tenham expirado”. E dá um último conselho: “Tentar não dar muita informação pessoal em sites online”.
******
Rosa Jiménez Cano, do El País, em San Francisco