Um homem de 30 anos de idade foi condenado a seis meses de prisão, depois de ter sido culpado de acessar a mais de 1.000 contas de e-mail em uma área universitária de Nova York em busca de fotos e vídeos com conteúdo sexual explícito de estudantes universitárias.
Jonathan Powel, de Phoenix, no Arizona, conseguiu acessar os servidores de uma universidade (não mencionada) para obter acesso a uma ferramenta de redefinição de senha que é usada pela equipe de TI sempre que os alunos esquecem suas credenciais de login. Depois que Powell obteve acesso às contas de e-mail, ele solicitou a redefinição de senhas em outros sites, o que lhe permitiu acessar a várias das contas das vítimas, incluindo Apple iCloud, Facebook, Google, Linkedin e Yahoo.
"Jonathan Powell usou suas habilidades de computação para burlar a segurança de uma universidade e obter acesso às contas pessoais de alunos. Uma vez que Powell obteve acesso, ele procurou fotos e vídeos comprometedores dentro das contas", disse o procurador federal dos EUA, Geoffrey S. Berman. "Nenhum estudante universitário deve temer que suas informações pessoais e privadas possam ser acessadas por estranhos em busca de material comprometedor".
Powell conseguiu alterar aproximadamente 1.378 senhas associadas a 1.035 contas de e-mail únicas. Em alguns casos, Powell acessou a mesma conta diversas vezes.
De acordo com uma nota de imprensa do Departamento de Justiça, os registros da Universidade revelaram que Powell teve acesso à ferramenta de redefinição de senhas 18.640 vezes entre outubro de 2015 e setembro de 2016.
Powell conseguiu alterar aproximadamente 1.378 senhas associadas a 1.035 contas de e-mail únicas. Em alguns casos, Powell acessou a mesma conta diversas vezes.
As investigações realizadas pela polícia descobriram que Powell também havia entrado em 15 contas de e-mail em outra universidade na Pensilvânia e, depois de ser preso, confessou que também havia entrado em contas de outros usuários no Arizona, Flórida, Ohio e Texas.
Lições para aprender
Em primeiro lugar, as equipes de TI que possuem ferramentas para redefinir as senhas de seus usuários devem certificar-se de que estão suficientemente protegidas para impedir o acesso de usuários não autorizados. A proteção de tais ferramentas é tão importante quanto a informação sensível, devido ao tamanho dos prejuízos que podem ser gerados se forem mal utilizadas.
Ao perceber que algumas universidades nos Estados Unidos tiveram seus sistemas de segurança burlados por Powell, o mais lógico seria que outras empresas e instituições (não apenas as universidades e não apenas nos Estados Unidos) possam avaliar o nível de segurança de suas poderosas ferramentas de administrador.
Por outro lado, é claro que o criminoso burlou as contas de e-mail de estudantes universitários para então cometer ataques contra contas externas - incluindo contas de emails e sites de redes sociais conhecidos.
Todos os sites mencionados na nota de imprensa do Departamento de Justiça (Apple iCloud, Facebook, Google, Linkedin e Yahoo) podem ter recursos de segurança adicionais ativados, como um duplo fator de autenticação. Em alguns casos, você pode até mesmo receber notificações de acesso ou ver onde e quando o último acesso à sua conta foi realizado - o que pode atuar como um alerta de que algo suspeito está acontecendo.
Além de ter sido condenado a seis meses de prisão, Powell também terá que passar dois anos em liberdade condicional e terá que pagar US$ 278.855. Por isso, acredito que ele não voltará a acessar às contas de nenhum estudante por muito tempo.
No entanto, isso não significa que outros não tentem usar truques semelhantes para procurar vítimas. Leve a sério a sua segurança on-line hoje ou pague o preço amanhã.