Há alguns dias recebi um post
numa lista de discussão que me chamou muito a atenção: dessa vez o
Linkedin era o alvo de vazamento de 6,5 milhões de contas. Por se tratar
de uma rede social que armazena dados profissionais e sigilosos de
milhões de pessoas, percebi que o assunto ganharia grande destaque e
procurei me aprofundar no fato, buscando entender o que havia
acontecido. Afinal, esse tipo de notícia tem se tornado cada vez mais
frequente.
Fiquei espantado quando soube que uma usuária da Califórnia impetrou um
processo pedindo cinco milhões de dólares em indenizações à rede em
questão. Ela, como a maioria dos usuários, não se interessou em ler a
política de privacidade do site ao se cadastrar. O Linkedin prega que a
sua tecnologia, no caso a disponibilidade, seja de ponta. Contudo, em
nenhum momento informa que os dados estejam livres de manipulação ou acessos
indevidos. Não há 100% de garantia com relação à integridade,
confidencialidade e confiabilidade de seus das infromações. Pelo menos, o
site é honesto, na minha opinião.
Empresas gastam milhões de dólares em desenvolvimento e infraestrutura,
mas quando o assunto é segurança de dados e em aplicações estas
questões estão lá no final da lista de tarefas. Vazamentos como estes
ajudam ao crime organizado a potencializar ferramentas de ataque como,
por exemplo, rainbow tables. Inclusive, ajudam fraudadores e expõem
usuários a ataques direcionados, como spear phishing e roubo de
identidade.
Mas afinal de quem é a culpa? Acredito que seja tanto de usuários como
de empresas. Um dos fatos mais interessantes no ocorrido é que boa parte
das senhas analisadas não era complexa e o site tampouco exigia a
complexidade de delas. Para entender a problemática, imaginem um cenário
em que o usuário é conhecido, geralmente por causa do seu e-mail, e,
por uma falha, a sua senha também passe a ser conhecida por demais
pessoas. Digamos que o usuário utilize a mesma senha para outros
serviços, logo isso permite acesso não somente a sua conta do Linkedin, mas também a outros serviços que ele utiliza na internet.
Como já dito pelo escritor Jaron Lanier, existe uma diminuição do ser
humano em redes sociais. As pessoas não são apenas dados, elas possuem
vidas reais que estão expostas na rede
por meio de serviços como o Linkedin. Poucas empresas enxergam pessoas
em dados armazenados, apenas os tratam simplesmente como informações.
Mas, ironicamente, são estas informações que dão a elas um negócio.
Fazendo uma analogia, é como se os bancos guardassem o dinheiro dos
correntistas em latas de lixo no meio da rua.
Por mais que existam controles que obriguem as empresas a proteger os
dados dos usuários, como Sarbox, PCI, CVM etc. o fato é que poucas delas
possuem programas de desenvolvimento de aplicações de forma segura e
seguem padrões mercado já estabelecidos.
Poucas empresas testam de forma eficaz as suas aplicações. A maioria
não possui processos ou ferramentas para analisar vulnerabilidades em
aplicações web e pouquíssimas possuem tecnologias de ponta, como web
application firewalls, para analisar e mitigar ataques. Por outro lado, a
falta de conscientização dos usuários e a não valorização das suas
informações banaliza a forma que estes dados são tratados.
Infelizmente essa é a fotografia de como está a privacidade dos
usuários que usam serviços online. Aqui no Brasil, o marco civil da
internet está prestes a ser criado e em minha opinião será um grande
passo para que usuários e empresas sejam mais conscientes e responsáveis
com relação à privacidade. Enquanto a responsabilidade civil não vier
de forma global, veremos mais vazamentos como os da Sony, do Linkedin e
de outros tantos aqui e lá fora.
Por Wander Menezes, gerente de Serviços da Arcon
Nenhum comentário:
Postar um comentário