Sete lições aprendidas com a violação de senhas do Yahoo

Em seguida houve – aparentemente pelo mesmo invasor – solicitações similares para códigos roubados do site de encontros eHarmony e do endereço de streaming de música Last.fm.
Semana passada, o site de pergunta e respostas Formspring afirmou que 420 mil senhas de seus usuários haviam sido comprometidas, levando a empresa a deletar a chave de todos os 28 milhões de clientes. Enquanto isso, um invasor ou grupo de invasores conhecido como DD3Ds Company vazou cerca de 450 mil endereços de e-mail e senhas associadas com o Yahoo Voices, antigamente conhecido como Yahoo Contributor Network. A motivação, segundo a DD3Ds, foi simplesmente o envio de um “aviso” para as pessoas no comando do serviço terem mais cuidado com a segurança.

O que o Yahoo – e por extensão, qualquer outra empresa que tenha que proteger senhas de consumidores – pode fazer para melhorar? Aqui estão sete dicas:

1. Confirme as violações rapidamente. O Yahoo e o Formspring devem ser parabenizados pela velocidade em que confirmaram a violação de senhas e instituíram uma correção, tudo em menos de 24 horas. Segundo o porta-voz do Yahoo, Jon White, “tomamos ações imediatas de correção da vulnerabilidade que levou à divulgação destes dados, mudança de senhas dos usuários afetados e aviso às empresas que possam ter sido comprometidas”. O Formspring foi além ao fornecer detalhes sobre as melhorias realizadas. “Conseguimos corrigir a falha e atualizar nosso mecanismo de hashing do SHA-256 com salts aleatórios para o Bcrypt para aumentar a segurança”, esclareceu Ade Olonoh, CEO da rede social, em uma postagem de blog na semana passada.

2. Observe os ataques de injeção SQL de rápido movimento. O grupo (ou indivíduo) DD3Ds disse que violou o Yahoo usando um ataque por injeção SQL do tipo union-based. Especialistas de segurança dizem que os invasores preferem esse ataque por sua habilidade – quando bem executado – de retirada rápida de grande quantidade de dados. “Nem todos os ataques por injeção SQL são iguais. Alguns podem ser mais destrutivos que os outros. É a diferença entre pedir cada senha por vez (injeção SQL normal), tentativa e erro (injeção SQL blind) ou pedir centenas de senhas de uma vez (union-based)” , alertou Kyle Adams, da Mykonos Software – parte da Juniper Networks – em uma postagem de blog.

3. Fique atento com segurança de terceirizados. No ano passado, uma das muitas violações de dados envolvendo a Sony foi por causa de uma base de dados desatualizada de 2007. Da mesma forma, a violação que atingiu o Yahoo parece ter vindo de uma empresa adquirida por ela, o que significa que não estava coberta pelas práticas do Ciclo de Vida de Desenvolvimento de Sistemas (SDLC, da sigla em inglês). Mas a empresa deveria, segundo especialistas, ter protegido o sistema adquirido pelo menos com uma aplicação web de firewall (WAF, da sigla em inglês), para ajudar a bloquear as injeções SQL. “Esse ataque destaca os desafios de segurança com aplicativos terceirizados. Os aplicativos invadidos foram provavelmente adquiridos pelo Yahoo de uma empresa terceirizada. É muito difícil ter um SDLC efetivo com terceiros, por isso é necessário protegê-los com WAF”, afirmou Rob Rachwald, diretor de estratégia de segurança na Imperva, em uma postagem de blog.

4. Exigir senhas fortes. A violação também mostra que o Yahoo – ou a Contributor Network, se as datas das senhas são de antes da aquisição da empresa – falhou em exigir que os usuários estabelecessem uma senha forte. Segundo uma pesquisa publicada pelo especialista de segurança Anders Nilsson, da Eurosecure, as chaves mais selecionadas são “senha”, “123456”, “12345678”, “1234” e “qwerty”. É claro que a seleção seria irrelevante se, como no caso da violação do Yahoo, a base de dados não estiver segura. Da mesma foram, no caso da violação do LinkedIn, o uso de um algoritmo de codificação desatualizado e uma falha em usar salt nas senhas – o que significa adicionar um valor único em cada uma antes de criptografá-la – possibilitou que até a proteção mais forte fosse violada de forma offline, mesmo que levasse mais tempo.

5. Empresas, levem senhas a sério. Qualquer empresa ou agência do governo que armazene senhas de usuários precisa garantir mais segurança, e não apenas apagar as informações. Com base em análises de dados violados, Rachwald, da Imperva, disse que o Yahoo aparentemente “armazenou as senhas tanto de forma criptografada (AES_passwd) quanto de texto direto (clear_passwd), o que, obviamente, torna a codificação inútil. Quando as empresas aprenderão?

6. Consumidores, fiquem atentos. Até as empresas aprenderem, a regra para os consumidores é simples: não acreditem que suas senhas estão seguras com nenhum site. Na verdade, use uma senha para cada site, assim os invasores não poderão reutilizar informações roubadas – como as do Yahoo – para acessarem contas ligadas ao mesmo endereço de e-mail em outro local, como o PayPal. Também considere mudar chaves com certa frequência, em caso de versões anteriores de base de dados terem sido exploradas. Finalmente, considere que nem todas as violações de senha são reveladas e que a situação pode ser ainda pior do que parece.

7. Conte aos reguladores. Multas poderiam ajudar empresas a melhorar suas práticas de segurança da informação. Nessa matéria, o especialista em privacidade Christopher Soghoian opinou que o Yahoo deveria enfrentar sanções doFederal Trade Commission [órgão norte-americano] por causa da violação. O FTC exige que as empresas cumpram suas políticas, por se tratar de uma garantia do consumidor. Segundo a política do Yahoo, a empresa “toma atitudes razoáveis para proteger sua informação”. Mas, com base em qualquer medida de segurança, armazenar senhas de usuários em formato decodificado – ou falhar em perceber essa ocorrência após a aquisição de outra companhia – não se qualifica como razoável.

Fonte: IT Web, tradução: Alba Milena de texto produzido pela rede internacional de jornalismo UBM