Desde o escândalo do fim de semana passado, quando o mundo ficou sabendo do roubo de fotos íntimas de celebridades como Jennifer Lawrence, Selena Gomez, Kirsten Dunst e Hilary Duff, muita gente ainda se pergunta como e por que isso aconteceu – e se era possível ter evitado este incidente.
A repercussão internacional desse caso depois que as fotos foram publicadas em sites populares como 4chan, Reddit, Twitter e Tumblr foi uma vez mais, aproveitada por cibercriminosos, que se aproveitaram da situação e utilizaram a Engenharia Social para fazer com que pessoas clicassem em supostas fotos dessas pessoas e se infectassem com malware.
iCloud, o culpado?
Sabemos que no momento da descoberta do roubo de informações, todos culparam o iCloud, já que o fator comum que as vítimas compartilhavam era o simples fato de que a grande maioria utiliza esse serviço de armazenamento de dados na nuvem. Porém a empresa Apple informou em um comunicado oficial que o problema não foi uma falha de segurança do iCloud, e sim um ataque direcionado que visava o roubo de credenciais:
“Descobrimos que algumas contas de celebridades foram comprometidas por um ataque direcionado a nomes de usuário, senhas e perguntas de segurança, o que é uma prática muito comum atualmente na Internet. Nenhum dos casos que investigamos foi resultado de uma falha de algum sistema da Apple, incluindo o iCloud® ou o Find my iPhone”
Essa declaração é muito importante, já que desfaz a confusão que estava sendo ocasionada ao misturar falhas encontradas no iCloud no passado com a que explicamos hoje.
Até agora o que sabemos é que no caso das fotos houve uma série de fatores que facilitaram a tarefa do(s) atacante(s), como senhas fracas ou fáceis de adivinhar, e respostas a perguntas de segurança fáceis demais.
A Apple, no seu comunicado, oferece 2 conselhos: utilizar senhas fortes e habilitar a dupla autenticação, porém existem interrogações na hora de seguir esses conselhos:
- O que são senhas fortes e seguras?
Muitos serviços simplesmente sugerem uma quantidade determinada de caracteres, alternando letras e números e letras maiúsculas. Mas já sabemos hoje em dia que “Senha1234” não é uma senha forte; mesmo com um tamanho aceitável, é muito fácil adivinhá-la.
Uma senha forte pode ser construída a partir de um jogo de probabilidades. Sabemos que podemos utilizar quatro tipos de caracteres: letras minúsculas, maiúsculas, números e símbolos. Para evitar ataques de força bruta, sugerimos que as senhas tenham pelo menos 10 caracteres misturando os quatro tipos que mencionamos.
Mas qual é a diferença entre uma senha longa com somente um tipo de caractere e outra com os quatro tipos?
Estatisticamente a probabilidade de adivinhar a segunda é bem menor, já que existe um espectro muito mais amplo de possibilidades de combinações. Outra recomendação é utilizar palavras ou expressões que não estejam nos dicionários.
- A dupla autenticação me deixa 100% seguro?
Nenhum sistema é 100% seguro por si só, o usuário é o grande responsável pela segurança de um sistema. No caso da dupla autenticação, o serviço da Apple não protege os backups, além de não ser um serviço disponível em todos os países.
Como podemos ver no site Techcrunch, a dupla autenticação não teria como proteger as celebridades deste roubo massivo de fotos e nem protegeria as contas já comprometidas se o atacante já tivesse conseguido o ID Apple do usuário.
Porém vale lembrar que a dupla autenticação é de fato uma ferramenta de segurança altamente recomendável e que hoje em dia é necessária em quase todos os sistemas que permitem a sua utilização. Para mais informação sobre a dupla autenticação, recomendamos a leitura do nosso guia.
Então, como protegemos a informação no iCloud (e serviços semelhantes)?
1. Revisar as opções de backup automático
Como mencionamos anteriormente, os backups poderiam ter medidas de segurança mais fortes. Embora ter um backup atualizado de nossa informação seja algo útil, temos que lembrar que quando tiramos uma foto e uma cópia é armazenada automaticamente na nuvem, quando a deletamos, a cópia continua na nuvem.
Nesse caso, a sugestão é desabilitar iCloud photo Sharing/Photo Stream.
2. Checar se as fotos foram armazenadas em outros locais
Como no caso do iCloud, outros serviços como o Dropbox costumam armazenar na nuvem backups de fotos automaticamente – a menos que o usuário o configure de outra forma. Outra funcionalidade que temos que revisar é se o conteúdo em um dispositivo é replicado aos demais dispositivos que temos sem que saibamos. O conselho então é revisar as configurações dos serviços utilizados.
3. Mentir - somente um pouquinho
Todas as informações ingressadas na Internet e nos perfis sociais estão ao alcance de possíveis atacantes, que as utilizam para tentar responder as perguntas de segurança das contas que utilizam esse sistema de verificação. Nome da escola onde estudou, nome do animal de estimação, nome de alguém da família, data de nascimento e dados semelhantes são bons exemplos. A sugestão é utilizar respostas falsas, difíceis de adivinhar, dessa forma dificultamos o acesso não autorizado às diversas contas.
4. Utilizar conexões seguras
Não vamos de deixar de repetir que sempre devemos utilizar conexões seguras. Essas conexões são criptografadas e portanto não podem ser interceptadas, assim temos que prestar atenção ao cadeado e a parte verde na barra de endereços do navegador, e o uso de HTTPS no URL.
5. Pensar antes de publicar uma foto (mais ainda se for “íntima”)
Se não queremos que estejam online e caiam nas mãos erradas, consideremos então guardar as fotos particulares e não compartilhá-las em serviços que não garantam 100% de segurança e privacidade.
Se pensarmos bem, o nível de privacidade de nosso conteúdo é decisão nossa.
Autor Sabrina Pagnotta, ESET
Adaptação: Ilya Lopes, ESET
