Armazenar senhas em texto puro em qualquer lugar da internet é fundamentalmente o oposto de segurança. E vazamentos de dados rotineiros em algumas das maiores empresas do mundo não foram o suficiente para convencer alguns usuários a deixar essa prática terrível de lado.

• Como o Trello organizou minha vida na faculdade
• Como um erro da Amazon pode destruir a internet

Um exemplo: o pessoal da Vocativ relatou nesta semana que a empresa por trás do Trello, o popular aplicativo de gerenciamento de trabalho, foi forçado a implementar proteções de privacidade para alguns usuários devido à falta total de respeito pelos controles básicos de segurança.

Primeiro, o Trello é um aplicativo baseado na web descrito como uma ferramenta de organização e colaboração. É uma maneira conveniente de gerenciar grandes projetos ao criar listas, compartilhar documentos e delegar tarefas. Uma redação, por exemplo, pode usar um “quadro” do Trello para acompanhar as pautas nas quais os repórteres estão trabalhando; editores podem utilizar para designar artigos, e os escritores podem subir o arquivo por lá. E, é claro, esses quadros podem ser protegidos com uma senha. Se você não consegue se organizar e se manter em uma tarefa, dê uma olhada neste post.

No entanto, o Trello é um serviço terrível para armazenar e compartilhar senhas, o que aparentemente é o que muitas pessoas têm feito.

De acordo com o Vocativ, isso representa um sério problema: uma pesquisa no Google por “passwords” (senhas, em inglês), restrita apenas ao site do Trello, revela credenciais armazenadas por uma pequena porção da base de usuários da ferramenta. Além disso, alguns quadros que expõem senhas não estão marcados como particulares – embora essa seja a configuração padrão.

O Trello tentou ajudar esses usuários ingênuos, se não negligentes, ao proteger os quadros com senhas. “O Trello identificou recentemente esses quadros e tomou algumas ações para alterá-los para o status de privado”, disse a companhia. Mas isso não consertou o problema imediatamente. Uma pesquisa no Google ainda exibirá nomes de usuários e senhas nas pequenas descrições exibidas abaixo de cada resultados (aviso: entrar em um sistema que você não está autorizado a acessar pode causar problemas legais).

“O Trello leva a privacidade de usuários muito a sério, e todos os quadros da ferramenta são particulares por padrão”, disse um porta-voz do Trello ao Gizmodo. “Em alguns casos específicos, alguns usuários alteraram as configurações de privacidade em seus quadros para o status público e, assim, disponibilizaram publicamente a informação desses painéis para pesquisas. O Trello recentemente identificou esses quadros e tomou medidas para mudar suas permissões para privado e desmarcar os dados do Google.”

Não está imediatamente claro o quão rápido esse problema será resolvido, mas diversas empresas procuradas pela Vocativ conseguiram resolver o problema antes que o texto fosse publicado. Se você é uma dessas pessoas utilizando o Trello para armazenar listas com senhas, pare com isso e atualize todas elas.

Se você está procurando uma maneira melhor de compartilhar as senhas entre seus funcionários, a resposta é, bem, melhor não fazer isso. Existem diversas aplicações online de Gerenciamento de Identidade Seguras que são boas, oferecendo um único sign-on (SSO, na sigla em inglês). Simplificando, em vez de entregar dezenas de credenciais para todos os serviços que sua empresa utiliza, você pode dar a cada um de seus funcionários uma única senha exclusiva que lhes confira o acesso a inúmeras aplicações.

Para um serviço desses, dê uma olhada no Okta. Gostaria de aconselhá-lo, no entanto, a evitar o OneLogin já que o serviço – mais uma vez – está passando por problemas com sua própria segurança interna.

[Vocativ]

Imagem do topo: Jim Cook