Em 2021, celebra-se o 60º aniversário da invenção da password nos computadores, mas este é também o ano em que ocorreram alguns dos piores percalços relacionados com as palavras-chave deste século. A Dashlane anuncia a sua sexta lista anual dos piores “Password Offenders”, ou seja, situações de transgressões e infortúnios relacionados com passwords que trouxeram avultados prejuízos às suas vítimas.
“Se as empresas não começarem a implementar práticas positivas relacionadas com passwords em todos os departamentos, as violações irão apenas tornar-se maiores e mais assustadoras”, diz JD Sherman, CEO da Dashlane.
“Se as empresas fossem automóveis, as pessoas não seguiam viagem sem fechar as janelas e trancar as portas. No entanto, aplicando esta analogia às empresas, os utilizadores de computador parecem estar a deixar os carros ligados e a chave na ignição. O trabalho árduo associado a uma boa higiene online fica resolvido com um gestor de passwords”, lembra este especialista.
Lista de episódios que dão que pensar
A Dashlane elaborou uma lista das situações envolvendo infelizes fugas de passwords que marcaram o ano. Não fossem ter trazido dissabores para as empresas envolvidas, as situações, nalguns casos, seriam quase anedóticas.
Em fevereiro de 2021, tanto atuais como antigos responsáveis da SolarWinds culparam um estagiário por utilizar a (“totalmente insegura”) password “solarwinds123”, que foi divulgada online. “Seria aqui que faríamos um comentário, mas a congressista norte-americana Katie Porter disse-o melhor do que ninguém: ‘Eu tenho uma password mais forte do que ‘solarwinds123’ para impedir que os meus filhos vejam demasiado YouTube no seu iPad’”.
COMB significa “Compilation Of Many Breaches” (em português, “compilação de muitas violações de dados”). COMB é o resultado de um fórum de hacking que publicou mais de três mil milhões de e-mails e passwords únicos recolhidos de anteriores fugas de informação da Netflix, LinkedIn, Bitcoin e muito mais. Com 4,7 mil milhões de pessoas online, a COMB incluiu os dados de quase 70% dos utilizadores globais da Internet. “Tanto previsível como doloroso: por favor, não reutilize as suas passwords”, é o apelo dos especialistas da Dashlane.
Depois de um grupo internacional de piratas informáticos ter violado os sistemas da empresa Verdaka com um nome de utilizador e password encontrados na Internet, os hackers acederam às câmaras dos clientes Verkada, que variavam desde o “Technoking” das fábricas e armazéns da Tesla até aos ginásios Equinox, hospitais, prisões e escolas. “É pouco provável que Elon Musk goze com isto no seu próximo monólogo do ‘Saturday Night Live’ – as violações de dados evitáveis não são motivo de riso”, comenta a Dashlane.
“A lista dos piores ‘Password Offenders’ funciona como um lembrete anual de como é fácil cometer uma gafe na Internet, mesmo quando pensamos que estamos protegidos”, refere a Dashlane.
Um utilizador de um fórum publicou um enorme ficheiro .txt (que seria designado de RockYou2021) com 100 GB que continha 8,4 mil milhões de passwords.
Em 2021, 533 milhões de utilizadores do Facebook foram expostos numa violação de dados. A forma como o Facebook, agora Metaverse, lida “com a privacidade dos dados continua a ser um tema sumarento de conversa em todos os jantares”.
Os colaboradores da empresa Ticketmaster utilizavam password obtidas de forma ilegal para piratear os sistemas informáticos de uma empresa rival. A empresa de venda e distribuição de bilhetes foi multada com 10 milhões de dólares devido a este ataque.
Em 2021, os dados de cerca de 1,2 milhões de clientes da GoDaddy foram expostos depois de hackers terem obtido acesso ao ambiente de alojamento WordPress gerido pela empresa.
A ActMobile Networks, que opera várias marcas VPN, continua a negar a responsabilidade em relação a 45 milhões de registos de utilizadores que incluíam endereços de e-mail, passwords encriptadas, nome completo e nome de utilizador; 281 milhões de registos de dispositivos de utilizadores incluindo endereço IP, código postal, dispositivo e ID de utilizador; e 6 milhões de registos de compra incluindo o produto comprado e recibos.
Do website DailyQuiz.me, foram roubadas credenciais de 8,3 milhões de contas de utilizadores. Os atacantes extraíram a base de dados do site, que foi depois oferecida para venda em fóruns do submundo e canais de Telegram. Os conteúdos da base de dados incluíam passwords em texto simples, e-mails e endereços IP.
O departamento jurídico da cidade de Nova Iorque detém alguns dos segredos mais bem guardados da cidade: evidência de má conduta policial, identidades de crianças acusadas de crimes graves, registos médicos de queixosos e dados pessoais de milhares de funcionários da cidade. Mas tudo o que foi preciso para um hacker se infiltrar na rede da agência de mil advogados, em junho, foi a password de e-mail roubada de um trabalhador.
“A lista dos piores ‘Password Offenders’ funciona como um lembrete anual de como é fácil cometer uma gafe na Internet, mesmo quando pensamos que estamos protegidos. Dados do relatório Verizon’s 2021 Breach Investigations mostram que o custo médio de uma violação de dados é de 4,23 milhões de dólares e que 80% das violações são causadas por passwords fracas, reutilizadas e roubadas de colaboradores”, explica a Dashlane.
O que podem as empresas fazer para escapar à fúria dos piratas?
A Dashlane considera que para as empresas se defenderem de ataques de pirataria é importante “criar uma cultura de segurança onde os colaboradores percebam o seu papel na proteção dos dados e recursos informáticos da empresa, sejam participantes ativos em conversações a decorrer sobre segurança, e tenham as ferramentas necessárias para manter bons hábitos de segurança sem impedir o seu trabalho”.
Outra peça-chave passa por “dar formação aos colaboradores sobre formas de identificar e reportar suspeitas de incidentes e ameaças à segurança. Considerar a criação de um e-mail específico ou canal para o qual estes possam contactar” é uma ideia deixada.
Outros conselhos da Dashlane consistem em adotar tecnologias como segurança endpoint, gestores de passwords e segurança de e-mail e “medir a eficácia do seu programa. Alguns gestores de passwords incluem uma funcionalidade de saúde de password que rastreia as pontuações de segurança da password em toda a empresa ao longo do tempo”.
Por último, a Dashlane aconselha as empresas a permanecerem atentas, podendo “utilizar ferramentas como o BusinessBreachReport.com para avaliar a eficácia da segurança da organização”.