Por Joel Backschat*
O que o Detran do Rio Grande do Sul tem em comum com a Secretaria de Saúde de Goiás, a Câmara dos Deputados, o Supremo Tribunal Federal e a Petrobras?
Os órgãos que citei, vinculados ao governo, foram alvo de vazamento de dados. Eles e tantos outros. Em fevereiro deste ano, houve uma exposição de 3,2 bilhões de senhas. Esses dias veio à tona o “RockYou2021”, considerado por especialistas em cibersegurança o maior vazamento da história: 8,4 bilhões de senhas foram expostas na internet. A versão “anterior” do RockYou ocorreu em 2009, mas o dano foi de apenas 32 milhões de senhas.
Há 12 anos já se sabia dessas fragilidades. Como, depois de tanto tempo, continua acontecendo? O nível de segurança baixo abre portas para que isso ocorra, tanto em sites como em aplicativos.
Vazamentos e falhas de segurança podem causar prejuízos enormes em empresas, não só pelo roubo de informações e dinheiro, mas também por prejuízos à imagem, interrupção de serviços e tantos outros danos. E isso faz vir à superfície o “hacker ético”, contratado pelas companhias para atuar nos processos de identificação de vulnerabilidades e desenvolvimento de formas de proteção. As falhas de segurança acontecem quando alguém descobre e faz algo que ninguém nunca tinha feito até então. Esse é o trabalho do hacker ético.
Qual seria a solução? A deficiência está justamente na falta de segurança. Bastasse os desenvolvedores investirem nela e parte do problema estaria sanado. Se é simples de resolver, por que ninguém faz? Essa é uma questão de engenharia social, relacionada a hackers, e não a códigos de programação.
A engenharia social é considerada a principal estratégia nos casos mais famosos de ataques de hackers. Ela basicamente trabalha pesquisa e persuasão que, em geral, está no foco de golpes de spam, phishing e spear phishing, comumente disseminados por e-mail. Por meio deles, a vítima “baixa a guarda” e se torna mais permissiva para expor seus dados.
Posso citar vários desses casos. Uma das juradas do reality show Shark Tank perdeu quase 400 mil dólares em um golpe de phishing e engenharia social no ano passado. O criminoso se passou por uma assistente dela e enviou um e-mail similar ao legítimo para o contador solicitando o pagamento de uma renovação relacionada a investimentos em imóveis. A tentativa de fraude só foi descoberta depois que o contador enviou um e-mail para o endereço correto da assistente, perguntando sobre a transação.
Um caso famoso de engenharia social e com grande repercussão aconteceu durante a eleição presidencial dos Estados Unidos em 2016. Ataques de spear phishing levaram ao vazamento de e-mails e informações do Partido Democrata. Muitos acreditam que isso pode ter influenciado o resultado da eleição, com a vitória de Donald Trump sobre Hillary Clinton. A mecânica criada era simples. Os hackers fizeram uma conta falsa em um grande provedor de e-mail e buscador de internet, convidando os usuários, através de um link, a alterar as suas senhas por atividades suspeitas – o que é comum acontecer. Os fraudadores tiveram acesso a centenas de e-mails contendo informações confidenciais sobre a campanha de Clinton.
Em resumo, os vazamentos de dados podem acontecer de três modos: invasão por um hacker do banco de dados de uma empresa, invasão do site usado pela empresa para o consumidor acessar dados pessoais ou vazamento interno por funcionário que tem acesso a informações de clientes.
No caso de invasão de hackers, é preciso um amplo conhecimento de código e outras artimanhas para burlar os sistemas de segurança. Geralmente acontece quando as plataformas ou softwares são mais vulneráveis, com poucos mecanismos para bloquear acesso externo suspeito. Muitas vezes o código está perfeitamente programado, mas ainda assim o invasor encontra uma brecha que compromete toda a segurança. No segundo exemplo, pode haver uma vulnerabilidade no site de acesso ao usuário, na maneira como ele foi codificado, ocorrendo erros de autenticação, por exemplo.
Diante de tudo o que foi exposto, as invasões e os vazamentos acontecem para que golpes sejam dados e tenham menos chances de serem descobertos. Se existem soluções, por que continuam acontecendo? Fechar o código seria a solução? Existe 100% de segurança?
* Joel Backschat* é formado em Sistema de Informações pela Universidade da Região de Joinville e atua na área de tecnologia há mais de 15 anos, atualmente é CTO do grupo FCamara – fcamara@nbpress.com.
Sobre a FCamara
A FCamara é especializada na criação de soluções customizadas e escaláveis para desenvolvimento de aplicativos, plataformas e integrações, com expertise no ramo há mais de 12 anos. Atua na transformação cultural, digital e cognitiva, impactando positivamente todos os setores de uma empresa. Atualmente, conta com um time de 600 colaboradores.