Hackers podem acessar seus arquivos guardados na nuvem sem precisar da sua senha
Hackers não precisam nem saber a sua senha para acessar sua conta em vários serviços bastante populares de armazenamento na nuvem como Google Drive, One Drive, Box e Dropbox, segundo um estudo divulgado durante uma conferência Black Hat em Las Vegas, nos EUA.
Uma vulnerabilidade no design desses serviços de sincronização de arquivos pode ser explorada por um ataque parecido com o man-in-the-middle, um tipo de ataque no qual os dados são roubados no trânsito entre dois servidores ou usuários, e assim fazer com que um hacker tenha acesso a todos os seus arquivos enviados para a nuvem.
Esses serviços de armazenamento na nuvem criam um pequeno arquivo conhecido como “token de senha” que fica guardado no seu dispositivo. Ele existe por um motivo: lembrar a sua senha e evitar que você precise entrar com ela a cada vez que quiser acessar um arquivo. Os hackers podem roubar esse token – seja por um ataque de phishing ou algo mais direto – e transferi-lo para outra máquina, que passará a entender que sua conta está logada naquele computador. A partir daí, é só vasculhar todos os seus arquivos para saber o que pode ser útil, ou então transferir um malware que se instalará também no seu computador.
E sabe o que é ainda pior? Caso isso aconteça com você, não há muito o que fazer. De nada adiantará mudar a senha – o token é vinculado ao seu computador, e mesmo a troca do password não faria com que ele saísse da sua conta.
Amichai Schulman, CTO da Imperva, grupo responsável pelo estudo, disse considerar isso apenas uma falha de design, e que é uma perda em segurança que visa a melhorar a usabilidade dos serviços. “Esses serviços precisam entregar arquivos com simplicidade do seu computador para a nuvem, e para outros dispositivos ao redor do mundo. Eles não são perigosos ou inseguros”.
Normalmente, serviços de internet costumam enviar algum tipo de aviso quando alguma há alguma atividade incomum na sua conta – como quando alguém tenta acessá-la de um lugar no mundo que está longe demais de você. Mas, segundo Schulman, a maioria das pessoas ignora esses avisos e acaba não fazendo nada em relação a eles, deixando assim os arquivos vulneráveis a possíveis hackers. Ele concluiu que não é muito fácil corrigir isso.
Talvez realmente não seja algo simples de se resolver, mas pode servir como um lembrete de como é importante dar toda a atenção possível para avisos de segurança – se o seu serviço de armazenamento na nuvem disse que talvez tenha algo errado com a sua conta, pode ser que realmente tenha, e é melhor agir antes que seja tarde demais.
[ZDNet]
Foto por Ivan David Gomez Arce/Flickr