Ladrão que rouba ladrão… sim o adágio popular é conhecido, mas neste caso é mais uma situação grave de falta de segurança. Desta vez, foram os hackers que compilaram uma base de dados com cerca de 350.000 palavras-passe do Spotify e armazenaram esses dados na cloud. Contudo, esses dados estão disponíveis “para quem quiser ver e usar”. Isto é, esse armazenamento não tem qualquer segurança, nada, nem palavras-passe.
A ocasião faz o ladrão e, como tal, serve de mensagem e alerta para cada um de nós. Lembre-se que uma boa palavra-passe é um princípio fundamental para assegurara a sua conta.
Hackers deixam palavras-passe do Spotify apanhas “ao deus-dará”
Segundo é dado a conhecer pela CNET, foram identificadas centenas de milhar de palavras-passe de utilizadores do Spotify. Um grupo de hackers não precisou violar os sistemas do Spotify para ter acesso a cerca de 350.000 contas no serviço de streaming de música. Bastou uma cache de credenciais de login roubadas noutras violações de dados e um pouco de paciência.
Os hackers tiveram sucesso porque os titulares das contas do Spotify estavam a reutilizar palavras-passe de outras contas que possuíam, um erro básico de segurança. Os hackers apenas tinham que experimentar as combinações no Spotify e procurar correspondências, uma técnica conhecida como enchimento de credenciais.
A simplicidade desta técnica não exige um génio, aliás, os hackers provaram ter pouca ou nenhuma genialidade. Isto porque caíram no próprio erro de segurança, pois armazenaram os registos numa base de dados na cloud não segura. Isso significa que qualquer pessoa com um navegador da web poderá ver os dados sem precisar de uma palavra-passe.
Hackers: “olha para o que eu digo, não olhes para o que faço”
Os investigadores de segurança Ran Locar e Noam Rotem encontraram os registos expostos como parte de um projeto que verifica a Internet na procura de dados não protegidos. Os especialistas, que pedem que os dados inseguros que encontram sejam removidos ou bloqueados, publicaram as suas descobertas no site de segurança vpnMentor na segunda-feira.
Qualquer pessoa que detetasse a base de dados no serviço cloud, poderia usar e abusar das credenciais expostas.
Não reutilize uma palavra-passe, seja criativo
Reutilizar a mesma palavra-passe em vários sites e aplicações é uma das ações mais arriscadas hoje me dia. Mesmo com a autenticação em dois fatores, é sempre importante haver um critério que diferencie cada serviço. Tendo em conta os gestores de palavras-passe dos sistemas operativos e browsers, hoje podemos usar palavras-passe mesmo que não as consigamos memorizar. Sim, podemos perder mais facilmente essa palavra-passe, mas sendo difícil de memorizar para si, poderá ser igualmente difícil de quebrar por parte dos hackers.
Há técnicas que podem ajudar. Por exemplo, usar este tipo de palavra-passe pode ser interessante e seguro: h@co1sas_Do_can3c0_face, ou H@co1sas_do_can3c0_spotify, ou ainda h@co1sas_do_Can3c0_mail… entre outras.
Nos exemplos em cima, a palavra-passe responde aos mais variados fatores de segurança, não é difícil de memorizar e tem sempre uma vertente única.