As 7 falhas de cibersegurança mais assustadoras de 2014

Apesar do meu amor pelo mês de outubro, ele não se resumiu apenas às gostosuras e travessuras do Halloween: também foi o mês da cibersegurança e conviveu com uma série de problemas escabrosos ligados ao tema, como hackeamentos, vulnerabilidades e vazamentos.

Porém, como entro necessariamente em clima de Dia das Bruxas nesse período do ano, pensei em não perder a oportunidade de unir esses dois eventos importantes e contar, a seguir, algumas das falhas de cibersegurança mais assombrosas de 2014. Descubra se essas ameaças ainda estão à espreita.

Heartbleed

Provavelmente um dos maiores bugs do ano, o Heartbleed expôs uma enorme falha de segurança que afetou quase toda a internet. O erro foi encontrado na biblioteca de criptografia OpenSSL, uma biblioteca de software de código aberto que protege nomes de usuários e senhas quando se navega na rede.

O problema significava que hackers estavam espiando conexões potencialmente comprometidas (ou seja, não devidamente criptografadas) e podiam coletar sem muita dificuldade o seu nome de usuário e a sua senha. A parte mais assustadora da história não era apenas que 66% de toda a internet empregava (e ainda emprega) a criptografia OpenSSL, mas que o defeito passou despercebido por 2 anos. Ou seja, muitos hackers podem ter obtido nomes de usuário e senhas por um longo período de tempo.

Heartbleed

Desde a sua descoberta em abril, a maioria dos sites afetados, em especial os mais populares, corrigiram o bug, tornando suas páginas (relativamente) mais seguras.

Snapchat

Mesmo que o app em si tenha sido hackeado no começo do ano e exposto dados de login e números de telefones de mais de 4 milhões de pessoas, os usuários do Snapchat [Android | iPhone] tiveram de enfrentar uma vulnerabilidade ainda mais destruidora quando o site não oficial Snapsaved ficou comprometido.

Sendo visto como oficial por muita gente por causa do nome, o serviço permitia salvar fotos e vídeos do Snapchat. Nesse contexto, o hackeamento conseguiu revelar, no começo de outubro, mais de 200.000 imagens e vídeos publicados na página 4chan junto com mensagens anônimas.

Snapchat Troll

A sensibilidade das fotos tipicamente enviadas pelo Snapchat representa um risco, especialmente para menores que compartilham imagens comprometedoras por meio do app.

Desde então, o Snapsaved.com está fechado, e o 4chan retirou as fotos do ar, mas isso não significa que você esteja 100% seguro. Pode ser que seja melhor ficar longe desses apps de terceiros ligados ao Snapchat (e de suas consequentes falhas de segurança), se você não quiser ser exposto.

iCloud

Este vazamento gerou muitas notícias porque envolveu celebridades de alto nível, que foram as principais vítimas do ataque. Mas a falha de segurança de setembro do iCloud foi suficiente para assustar até mesmo ao usuário mais comum.

Os hackers encontraram uma brecha no sistema que facilitava o acesso a contas de backup do iCloud e que serviu de caminho até as imagens privadas de celebridades. O que mais amedronta é que qualquer pessoa poderia acessar fotos “sensíveis” armazenadas em um dispositivo iOS. A ausência de uma autenticação em dois passos foi um dos principais pontos fracos neste caso.

iCloud

Desde então, a Apple tem feito grandes mudanças em seu armazenamento iCloud impulsionadas pelo lançamento do iOS 8. Agora, sempre que houver indícios de que sua conta no serviço foi acessada por outra pessoa, você receberá um e-mail. E isso dificulta bastante a vida dos hackers, reduzindo as chances de invadirem sua conta. A autenticação em dois passos é, atualmente, o padrão, e a Apple exige que você gere senhas específicas para apps que não suportam esse novo recurso.

eBay

Em maio, o eBay anunciou que seu site havia sido comprometido por uma falha ocorrida meses antes de sua descoberta. Usando uma conta de funcionário, alguns hackers descobriram um jeito de acessar dados de usuários da web.

Essas informações, contudo, não eram financeiras, mas incluíam detalhes como o e-mail, o endereço físico, as senhas e as datas de nascimento dos clientes. Felizmente, a plataforma de pagamento e parceira do eBay, o PayPal, não foi comprometida, amenizando um pouco a situação.

Ebay hack

O eBay alegou não ter detectado atividade fraudulenta em ascensão nas contas dos usuários nos meses prévios à descoberta da brecha, mas pediu que todos os mais de 145 milhões de usuários afetados trocassem suas senhas com rapidez.

Internet Explorer

Um quarto do mercado de navegadores foi afetado em abril, momento em que a Microsoft anunciou uma vulnerabilidade crítica de segurança no Internet Explorer – mais exatamente nos browsers que vão da sexta à décima primeira versão. Na verdade, a companhia considerou a falha crítica o suficiente para fazer uma atualização de segurança inclusive no Windows XP, mesmo depois de ter parado de dar suporte a esse já vencido sistema operacional.

Internet Explorer

O erro basicamente deixava os usuários expostos, dando aos hackers um alto nível de direitos de usuário no PC deles, permitindo o acesso e a instalação de malwares nessas máquinas. A boa notícia é que o bug foi corrigido poucos dias depois de identificado.

Adobe Flash

A Adobe lançou uma atualização de emergência do Flash em meados de junho, depois de descobrir uma falha que comprometia os cookies dos browsers. Cookies basicamente armazenam informações de navegação para torná-la um pouco mais rápida no futuro, lembrando detalhes de login para que você não tenha que digitá-los toda vez que acessar um determinado site.

Tecnicamente, o problema era grave porque permitia a interceptação desses dados e que hackers se fizessem passar por usuários online.

Adobe Flash

Como o Flash é parte integral de diversas páginas, incluindo o YouTube, o Google e o Tumblr, a falha era um risco para muitos usuários. Felizmente, a correção foi lançada rapidamente sem que houvesse problemas de maior escala.

Shellshock Bash

Com potencial para ser a mais assustadora e maior brecha de segurança de todos os tempos, Shellshock Bash surgiu em setembro como uma falha nos sistemas Mac OS X, Linux e Unix, dando aos hackers a possibilidade de executar comandos a distância em diversos computadores, dispositivos e sites.

Shellshock Bash

Bash, um tipo de intérprete usado para executar comandos em aparelhos que vão de laptops a roteadores, significava que o bug Shellshock tinha potencial para colocar centenas de milhões de dispositivos em risco.

Depois de sua descoberta, os hackers imediatamente começaram a testar diversos sites para ver quais ainda estavam vulneráveis. Muitas companhias, incluindo a Apple, corrigiram o bug imediatamente, mas ainda representa uma ameaça para a maioria dos servidores de internet.

Mas não entre em pânico. Você provavelmente está a salvo desse bug, pois a maioria das companhias de software já corrigiram a falha. Porém, é possível seguir alguns passos para se proteger, atualizando seus computadores e dispositivos às ultimas versões dos softwares que possuem.

Não tenha medo

Parece que falhas de segurança vêm e vão com bastante frequência nos dias de hoje, mas, apesar destas questões estarem fora do seu controle, existem formas simples de se proteger.

Usar gerenciadores de senha para garantir que todos os seus códigos secretos sejam únicos e seguros é provavelmente o jeito mais fácil de alcançar esse objetivo, e o melhor que você pode fazer.

Recorra também à verificação em dois passos sempre que puder para contar com uma segurança extra, e sempre atualize seus softwares para as suas últimas versões, o que inclui, usualmente, correções de segurança e de bugs. Por fim, evite usar apps de terceiros ou serviços com configurações de privacidade ou termos de serviço obscuros.

[Artigo original em inglês]

Leia também

Carregando comentários