Parece apenas natural que 2017 tenha sido o ano em que vimos uma das piores brechas de segurança de todos os tempos. O ataque hacker à Equifax afetou 145,5 milhões de consumidores norte-americanos, porém o mais sombrio de tudo é que a empresa de gestão de crédito sofreu outra brecha meses antes da que eles divulgaram em setembro. E tentar manter seus usuários desinformados para manter uma imagem intacta não é uma decisão incomum. Levou quase um ano para o Yahoo informar ao público que não havia sido apenas um bilhão de contas de usuários que haviam sido comprometidas, mas, sim, todas elas.

Minha questão é a seguinte: quando você se inscreve e cria uma conta online, suas informações estão à mercê do serviço a que você se juntou, e você não deveria presumir que todas as empresas vão deixar você saber que elas sofreram uma violação de segurança. Mas um protótipo de ferramenta criado por pesquisadores da Universidade da Califórnia em San Diego (UCSD) busca trazer maior transparência a tais brechas. O sistema, chamado Tripwire, detecta sites que foram hackeados, como é detalhado nesse estudo.

Eis como o sistema funciona: para detectar violações, os pesquisadores criaram um bot que registrava contas automaticamente em milhares de sites. Cada uma dessas contas compartilhava uma senha com um endereço de email único associado. Trabalhando com um “grande provedor de email”, os pesquisadores eram então notificados se houvesse um login com sucesso em qualquer uma das contas de email. Já que as contas de email haviam sido criadas para o estudo, qualquer login, presumia-se, era resultado de uma violação de segurança no site associado com aquela conta.

“Embora o Tripwire não possa encontrar todas violações de dados, ele basicamente não tem falsos positivos — tudo que ele detecta corresponde a uma violação de dados”, disse Joe DeBlasio, doutorando da Escola Jacobs de Engenharia, na UCSD, e autor da pesquisa, em entrevista ao Gizmodo. “O ‘alerta’ do Tripwire significa que um invasor teve acesso a dados que não estavam compartilhados publicamente.”

Como parte do estudo, os pesquisadores monitoraram mais de 2.300 sites de janeiro de 2015 a fevereiro deste ano, descobrindo que 19 dos sites (ou 1%) haviam sido comprometidos. O estudo aponta que o sistema encontrou “violações tanto de texto puro quanto de hash de senha” — se sua senha tiver um hash, ela é indecifrável para um hacker. Sem dúvidas, a descoberta mais grave do estudo foi que, na época em que foi publicado, só um dos sites comprometidos notificou seus usuários que havia sofrido uma violação. E só um site disse aos pesquisadores que forçariam um reset de senhas.

“A nova abordagem muito esperta e nova dos pesquisadores da UCSD mostra que tais ataques podem estar acontecendo em uma escala maior do que imaginávamos antes e, até pior, mostra que as empresas sofrendo as invasões podem sequer estar cientes disso”, disse CEO e cofundador da empresa de segurança UpGuard, Mike Baukes, em entrevista ao Gizmodo.

Embora os pesquisadores não estejam dispostos a divulgar os nomes dos sites (com exceção do bitcointalk.org, que publicamente revelou sua violação em 2015), eles incluíram algumas informações sobre a natureza dos ataques no estudo. Eles apontam que “o site mais popular comprometido é uma startup americana bem conhecida, com mais de 45 milhões de clientes ativos no bimestre em que sofreram a violação”. De acordo com o estudo, várias pessoas criticaram a violação nas redes sociais. Os pesquisadores apontam que só encontraram uma publicação que cobriu a brecha, informação que a empresa negou.

Outros sites incluem “uma empresa de serviços de games conhecida dentro de comunidades de games”, “um dos 500 maiores sites da Índia” que, supostamente, teria milhões de downloads de apps, além de 60 milhões de visitas mensais a seu site, um site pornô na Alemanha e “uma empresa com um grande portfólio de sites de recomendação de viagem” que teria 40 milhões de visualizações mensais em todos seus sites.

Os pesquisadores entraram em contato com todos os sites que haviam descoberto terem sido comprometidos, exceto pelo que já havia tornado isso público. “Divulgamos nossas identidades, metodologia e descobertas e nos engajamos com cada site à medida que eles permitiam”, escreveram os pesquisadores. Apenas seis dos sites responderam, um confirmou que havia uma violação de que eles já sabiam, e alguns “reconheceram que a segurança não era sua maior prioridade”.

Baukes contou ao Gizmodo que “ataques de reutilização de senha são um vetor majoritariamente negligenciado em cibercrimes sérios e podem ser tão danosos quanto métodos mais famosos de ataque”. Ele apontou a invasão ao Dropbox em 2012, em que detalhes de mais de 60 milhões de contas de usuários foram vazados na dark web. O hacker conseguiu reutilizar a senha de um funcionário a partir de uma violação no LinkedIn para obter informações da rede do Dropbox. Baukes disse que o sistema dos pesquisadores da UCSD “é um acréscimo bem-vindo ao conjunto de ferramentas da comunidade de segurança e, se adotado por organizações independentes, pode melhorar significativamente a precisão e validade das violações de dados detectadas dessa maneira”.

Imagem do topo: Getty