Há poucos dias, Roberto Gil Brasil, gerente do Departamento de Planejamento de Sistemas e Administração de Dados (SIS), foi surpreendido com um e-mail no qual eram exibidos um login e uma senha antigos usados por ele. No texto, em tom ameaçador, os criminosos tentavam extorqui-lo, caso não houvesse pagamento pelo sequestro virtual de seus dados. Experiente no assunto – essa não foi a única ameaça virtual recebida pelo colega, mas a primeira em português – ele se tranquilizou diante do fato de se tratar de uma senha muito antiga, e que fora usada apenas numa rede social profissional.
“Fiquei tranquilo, porque eram uma senha e login que eu não usava mais, em nenhum outro cadastro. E, por trabalhar na Informática, a gente já sabe como são esses golpes”, explicou Gil, que pode ter sido vítima de um dos maiores vazamentos de senhas da história da internet, com 8,4 bilhões de combinações expostas.
O caso ocorreu no início de junho e o número de senhas vazadas corresponde a quase o dobro de usuários da internet, na casa dos 4,7 bilhões.
Especialistas apontam que, entre os e-mails e senhas vazados, estão extensões “.gov.br” e “.gov.py”, justamente como nos endereços corporativos usados na Itaipu. Por isso, o contato de Roberto Gil pode ser um deles, assim como os seus dados pessoais podem estar rodando pelos porões da internet, a “dark web”, onde criminosos tornaram a lista disponível em alguns fóruns.
O problema, neste caso, não são apenas os e-mails com ameaças para “pescar” desavisados ou utilizarem seus dados para compras e gastos on-line, que pode resultar em prejuízos individuais. Outro risco, e esse ao coletivo, é deixar sistemas de Itaipu expostos aos acessos desses criminosos. Se a senha vazada for a sua de rede, por exemplo, pode-se abrir uma porta que a Informática não conseguirá identificar, logo de cara, como um acesso suspeito, uma vez que o login e senha serão os do empregado.
Como evitar isso
Para evitar riscos, a recomendação é não usar a mesma senha de rede em nenhum outro ambiente, além de não cadastrar seu e-mail profissional em redes sociais, por exemplo.
A regra de uma senha por site, aplicativo ou sistema vale ouro. Isso evita os ataques chamados de “força bruta”, quando o tenta-se adivinhas a senha por tentativa e erro. “Num grande vazamento de dados, como esse que ocorreu, criminosos podem pegar sua senha e testar em vários sites”, explicou Roberto Gil, que mesmo com toda experiência na área tenha tido seus dados vazados.
Embora possa parecer difícil manejar tantas senhas, há formas simples de fazer isso, a partir de gerenciadores de senhas on-line. A dica é do analista Jacson Querubin, especialista em segurança da informação, que tem outras orientações sobre como se proteger.
Uma delas é identificar na própria senha o ambiente que está sendo acessado, colocando o nome ao final. Alguns exemplos: suasenha_facebook; suasenha_linkedin; suasenha_gmail. Num eventual vazamento, você consegue rastrear de onde ele partiu.
Fonte: JIE