As lições do vazamento de senhas do Twitter para a SI

De acordo com Abílio Pettenazzi, gerente de Produtos da Brasoftware, nomes de usuário na rede social podem ter relação com credenciais de acesso à sistemas corporativos e facilitam o ataque de cibercriminosos

Compartilhar:

* Abílio Petenazzi

Os hackers mostraram novamente sua força. Na última semana, foram disponibilizadas, por meio da Deep Web, mais de 32 milhões de senhas de usuários do Twitter. A ideia era vender na internet informações dos usuários afetados, como nome, endereço, e-mail e outras senhas. Deep Web refere-se ao conteúdo da web que não é indexado pelos mecanismos de busca padrão, ou seja, são “invisíveis”.

Esse é mais um caso de sucesso dos cibercriminosos, que cada vez mais invadem sistemas e expõem dados de usuários mundo afora. O site haveibeenpwned.com, por exemplo, traz uma lista com diversos outros casos, como da Forbes, LinkedIn, Myspace, Snapchat, Sony e Vodafone. O portal permite também consultar se sua conta foi afetada.

Quais lições podemos tirar de um caso como este? E por que um roubo de senhas de uma rede social pode trazer insegurança para as empresas?

A partir do momento que os dados foram expostos na Deep Web, um grupo de cibercriminosos que esteja trabalhando em um ataque a uma empresa específica pode se beneficiar desses dados.

Os usuários do Twitter, em sua maioria, estão ligados aos nomes das pessoas físicas que são proprietárias das contas. Por exemplo: a probabilidade da conta do João Silva no Twitter ser @joaosilva ou alguma variante simples desse exemplo como @jsilva ou @silvajoao é bem alta.

Caso esta pessoa trabalhe em uma empresa que está sendo alvo de ataques de cibercriminosos, o acesso a um modelo de senha do usuário irá facilitar o ataque. A probabilidade da senha do Twitter ser igual ou muito parecida à da rede corporativa é alta. É assim que um ataque direcionado para roubar dados de empresa consegue ter sucesso, explorando dados disponíveis dos usuários da empresa na web, seja na Deep Web ou em redes sociais. Por isso, todo cuidado é pouco.

O cibercrime já virou uma indústria lucrativa que movimenta mais de US$ 1,5 trilhão ao ano, de acordo com dados apresentados por empresas do setor de segurança da informação.

Com a chegada do artificio Bitcoin, moeda digital que não possui rastreabilidade em suas transações financeiras, o cibercriminoso agora pode fazer dinheiro virtual e depois trocá-lo por dinheiro real. O Bitcoin acelerou o crime sem fronteira, portanto hoje uma empresa de qualquer tamanho e setor pode ser atacada virtualmente de qualquer lugar do mundo.

Um motivo que aumenta os riscos é o fato de empresas, principalmente de menor porte, possuírem menos investimentos e infraestruturas de segurança, o que facilita o ataque dos cibercriminosos. É como na vida real: é mais fácil invadir uma casa cheia de câmeras, seguranças, cercas elétricas e sistemas de alarme ou uma com uma com apenas portão e grades?

É preciso sempre investir na conscientização de seus usuários, capacitação da equipe de TI e escolher as tecnologias que atendem melhor a necessidade da companhia de acordo com o plano de segurança, sempre levando em conta três fatores: aderência da tecnologia ao ambiente, preço e relacionamento com o fornecedor.

Para o caso da exposição de senhas do Twitter, o ideal seria solicitar a troca de senha de todos os usuários da rede corporativa da empresa, aplicando sempre a regra de senhas padrão com no mínimo oito caracteres, incluindo letras, números e símbolos, que não sejam iguais às últimas 10 senhas gravadas.

E outro ponto importante é divulgar casos como este do Twitter para os colaboradores como forma de alerta tanto para a vida pessoal quanto para prevenção da segurança da informação no ambiente corporativo. Dessa maneira, a empresa pode aprender com o ocorrido e também minimizar os riscos.

* Abílio Pettenazzi é gerente de Produtos da Brasoftware

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Serpro nega ser alvo de hacker preso em Pernambuco

Estatal reafirma que sistemas seguem íntegros e não houve comprometimento de dados sob sua guarda
Security Report | Overview

Febraban divulga medidas de reforço à integridade do sistema financeiro

Federação divulga ação do Banco Central contra fraudes e crimes cibernéticos, destaca preservação do Pix e defende regras mais duras...
Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...