Vimos nos últimos dias as notícias sobre invasões nas contas de Mark Zuckerberg (CEO do Facebook), Dick Costolo (ex-CEO do Twitter) e agora a do CEO do Google, Sundar Pichai.

 

Além destas notícias demonstrarem que os esquemas de segurança dos maiores do mundo não são 100% eficazes, demonstram nas entrelinhas algo que poucos leitores se deram conta: a invasão de um sistema comprometeu outros sistemas usados pelo mesmo usuário.

 

E isso por culpa de algo que eles mesmos estimulam: o protocolo OAuth.

 

Sua comodidade é mais importante

que sua segurança?

 

O protocolo OAuth foi criado com o objetivo de permitir a entrada de LOGIN e SENHA de uma forma "segura", sem digitação do usuário, através da criação de chaves assimétricas para identificação do usuário. O mais importante deste protocolo é que ele pode se comunicar com sistemas que o utilizem, buscando informações do usuário, desde que este esteja conectado no momento a algum destes sistemas.

 

Confuso? Nem tanto, afinal, você convive com isso todos os dias: toda vez que você se cadastra num novo sistema, você não vê algo como "efetuar login usando sua conta Facebook" ou "efetuar login usando sua conta Google"?

 

É isso que o OAuth providencia: uma forma de identificá-lo através de informações que estão na memória de seu computador (dados de ID), buscando suas informações em outros sistemas para atender aos requisitos do sistema que você está se cadastrando. Muito cômodo e rápido não?

 

Mas é justamente esta característica que envolve uma série de riscos de segurança, afinal, se você está identificado em vários sistemas através da conexão com um único (que chamo de sistema-mãe), fica fácil imaginar que a invasão de sua conta no "sistema-mãe" irá comprometer todos os outros que compartilham, com este, seus dados de ID.

 

E foi isso que aconteceu com Sundar Pichai: uma vez que os hackers invadiram o Quora, automaticamente tiveram acesso à sua conta no Twitter, postando mensagens como se fossem ele.

 

E para eles é simples desconfigurar as contas e reiniciar novas senhas, mas para nós, simples usuários, é um processo extremamente lento e trabalhoso, na medida que muitas vezes o atacante muda as senhas que usamos hoje. Pergunte a quem já sofreu com o "furto de identidade" (é assim que chamamos estes eventos) em sistemas como Facebook e Google.

 

Lembro que a cada dia surgem na Internet vários "aplicativos" criados para fins escusos e que não exigem de seus usuários qualquer conhecimento técnico avançado. Portanto, o risco de sermos vítimas do "furto de identidade" é concreto e cada vez maior.

 

Portanto, recomendo algo que uso em minhas conexões: evite sempre o uso do OAuth ou em outras palavras, evite sempre se identificar em um sistema através da conexão de outro (como Google, Facebook, Twitter)! Use se possível senhas diferentes e um bom "gerenciador de senhas" para controlar todas elas.


Seguindo este passo, sua segurança estará preservada.

 

E sem nem os CEO's das maiores empresas do mundo estão protegidos, porque pensar que nós estamos?

 

 

 

 

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016