O Facebook admitiu que engana o mercado clandestino de senhas roubadas em um esforço de melhorar a segurança e proteger seus usuários, que muitas vezes usam a mesma senha para diferentes serviços.
• As 25 senhas mais populares de 2015 mostram como somos idiotas
• Quais dados o WhatsApp poderá compartilhar com o Facebook daqui para a frente?
• Impeça o Facebook de rastrear tudo o que você faz pela internet
Falando durante o Web Summit na última semana, Alex Stamos, chefe de segurança do Facebook, disse que a empresa compra senhas roubadas para poder compará-las com as senhas criptografadas adotadas por usuários da rede. Stamos disse que a tarefa é “computacionalmente pesada”, mas que ao fazer isso permitiu que a companhia alertasse dezenas de milhares de usuários de que eles estavam usando senhas ruins ou inseguras.
Como o blog de segurança Sophos Naked Security observa, o Facebook já faz essa comparação de senhas roubadas com a de seus usuários há um tempo. Durante o hack sofrido pela Adobe em 2013, o Facebook usou as informações para saber quais usuários usavam a mesma senha nos dois serviços. Se o Facebook descobrisse que um usuário estava usando a mesma senha de uma conta da Adobe, a rede “bloqueava” o usuário até que ele inserisse uma nova senha forte.
Senhas roubadas são frequentemente vendidas no mercado clandestino. De fato, é desta forma que dados residuais acabam sendo vazados. As pessoas compram esse dados para tentar acessar não só informações do serviço roubado (considerando que a plataforma não resetou as senhas), mas também para tentar acessar outros serviços, com a premissa de que muita gente usa o mesmo login e senha em distintos sites.
Esta é uma das razões pela quais não é recomendado usar a mesma senha em mais de um site: você pode não ligar em ter uma conta hackeada, mas a mesma senha pode fornecer o acesso de informações pessoais em outras plataformas.
Não é só o Facebook que opera dessa forma. Como o San Francisco Chronicle noticiou em janeiro, cada vez mais companhias estão tendo iniciativas proativas para proteger seus usuários. A publicação cita o PayPal como uma das companhias que já admitiu comprar senhas no mercado clandestino como uma “conduta regular do mundo dos negócios.”
Várias pessoas — incluindo altos executivos atuais e antigos de empresas do Vale do Silício e fornecedores de serviços de cibersegurança — detalharam o processo e sua importância para investigações de contra-inteligência ao San Francisco Chronicle. As empresas que geralmente adotam tal prática são companhias de tecnologia e bancos, que conseguiram comprar dados roubados de cartões de crédito e de débito após uma brecha de segurança da varejista americana Target.
Segundo pessoas relacionadas ao assunto, a tática exige que as companhias e fornecedores de serviço de inteligência se infiltrem em um complexo ecossistema criminal de fóruns e chats, onde dados roubados são comprados e vendidos, e os participantes são frequentemente vetados pela boa-fé.
As vezes, a prática é supervisionada por profissionais da área de segurança, que acham que comprar dados roubados representa ultrapassar os limites éticos. É também verdade que o ato de adquirir essas informações representa uma área nebulosa, legalmente falando. Ainda assim, é comum ouvir o argumento de que se os dados estão disponíveis, faz sentido que sites grandes tenha ciência de que os dados estão lá, de modo que eles possam adotar melhores políticas para proteger os consumidores.
[CNET via Naked Security]
Foto do topo por AP