Caso Ashley Madison: Empresa negligente. Usuário imprudente

|

O consultor de segurança Gabor Szathmari descobriu evidências de que os desenvolvedores da Avid Media foram relapsos em relação às credenciais sensíveis, armazenando as mesmas no código fonte, facilitando o acesso dos invasores à infraestrutura da empresa.

Armazenar credenciais sensíveis – como base de dados de senhas, APIs, chaves de identificação ou chaves SSL privadas – em repositórios de código-fonte parece coisa de principiante. Nos repositórios de código-fonte vazados, Szathmari encontrou senhas fracas para o banco de dados, credenciais de acesso à API para o serviço de armazenamento em nuvem da Amazon, chaves para outras aplicações e chaves privadas para certificados SSL.

É assustador como uma empresa que fatura milhões de dólares tenha sido tão negligente com questões de segurança da informação, expondo a privacidade, intimidade, informações pessoais e financeiras dos seus clientes.

A negligência renderá muitos processos. Um homem identificado como “John Doe” moveu ação na corte federal da Califórnia, alegando que a companhia falhou em proteger suas informações, gerando danos emocionais. A ação legal busca status de ação coletiva. No Canadá, país sede da Ashley Madison, uma ação coletiva busca 760 milhões de dólares em danos.

O resultado final dos dados sensíveis armazenados nos repositórios de código-fonte é uma infra-estrutura muito mais vulnerável. Credenciais de banco de dados, chaves para Amazon Web Service provavelmente tornaram o movimento lateral mais fácil para o Impact Team, levando a violação completa do Ashley.

Usuário imprudente

Apesar dos constantes alertas, da quantidade de artigos e avisos pela Internet, os usuários continuam a utilizar senhas fracas. Foi o que revelou o recente vazamento de informações do site.

No artigo “Sabe qual a pior senha do mundo?” já falamos sobre o problema. No artigo “Qual o valor das suas senhas?” demos 5 dicas para aumentar a sua segurança.

O especialista em segurança digital Dean Pierce descriptografou cerca de 4 mil senhas que vazaram do site. Segundo Dean Pierce, em primeiro lugar na lista de senhas mais usadas no pacote decifrado está “123456”. Em segundo, está “password” (a palavra “senha”, em inglês).

Confira:

  1. 123456
  2. password
  3. 12345678
  4. 1234
  5. pussy
  6. 12345
  7. dragon
  8. qwerty
  9. 696969
  10. mustang
  11. letmein
  12. baseball
  13. master
  14. michael
  15. football
  16. shadow
  17. monkey
  18. abc123
  19. pass
  20. fuckme

Utilizar senhas fracas, comumente usadas, é perigoso, pois os criminosos normalmente possuem listas como essas, e criam códigos que automaticamente tentam forçar o login utilizando todas elas.

Não há desculpas para usar senhas fracas! Não adianta o site do serviço online ser super seguro se você não fizer a sua parte. Aproveite o embalo e mude aquela senha notoriamente fraca.

Uma alternativa interessante é utilizar o Kaspersky Password Manager.

Outra revelação alarmante, trazida pela exposição de milhões de endereços de e-mails, foi a de que muitos usuários utilizam e-mails corporativos para acessar serviços de uso pessoal e, talvez, até a infraestrutura da empresa na qual trabalham. O banco de dados vazado inclui e-mails de autoridades de governos, servidores públicos e de executivos de corporações europeias e norte-americanas.

Ou as empresas não têm uma política de segurança da informação em relação ao uso de e-mails ou, caso tenham, a mesma não é respeitada.

Últimas postagens

Riscos selfies documentos

Os Riscos das Selfies com Documentos

Atualmente, muitos serviços on-line populares exigem uma selfie com documento de identidade ou passa…

Kaspersky Privacy Checker

Kaspersky Privacy Checker: Ajuste a Privacidade

O Kaspersky Privacy Checker é um serviço que ajuda os usuários a configurarem a privacidade de suas …

ferramenta antirroubo de celular

Google Testa Ferramenta Antirroubo de Celular no Brasil

A Google trouxe uma novidade importante para os usuários de smartphones no Brasil. A empresa anuncio…