Quando há um ataque informático a um grande serviço de internet quem é que por norma fica a perder? Os utilizadores. Quando são roubados emails, passwords, informações pessoais ou os números de cartão de crédito, são sempre os utilizadores os mais afetados. Confiam que estão seguros nas mãos de determinadas empresas para depois descobrirem que por algum motivo – falha de segurança, negligência ou descuido -, esse pacto de confiança foi quebrado.
Nos meses recentes surgiram dois relatos que elevam a quebra de confiança a um novo patamar.
“Olá *nome do utilizador*
Estamos a contactá-lo para informar que se não atualizou a sua palavra-passe da Dropbox desde meados de 2012, vai receber uma solicitação para atualizá-la da próxima vez que se autenticar no serviço. Esta é uma medida puramente preventiva e pedimos desculpa pelo inconveniente.
Para saber mais por que razão estamos a tomar esta precaução, por favor visite esta página do nosso Centro de Apoio. Se tiver alguma dúvida, sinta-se à vontade para nos contactar através do email [email protected].
Obrigado,
A Equipa da Dropbox”
Este foi o email que a Dropbox enviou no final de agosto aos seus utilizadores. O que ficámos a saber através da mensagem? Que será necessário mudar a nossa password, mas não nos é dito porquê. Pelo menos de forma direta. Se seguir o link fornecido então a Dropbox já explica o que aconteceu, mas neste email não é feita uma única referência à muito provável ligação ao ataque informático sofrido pela empresa em 2012.
Sim, há quatro anos a Dropbox foi alvo de um ataque informático de alto perfil, mas só agora é que as verdadeiras consequências estão a ser conhecidas, como reportou a Motherboard. Perto de 68 milhões de credenciais de utilizadores do serviço estão à venda na darknet. Provas da ligação entre os casos também podem ser encontradas no blogue do especialista em segurança informática Troy Hunt.
“A nossa equipa de segurança está sempre alerta relativamente a novas ameaças contra os nossos utilizadores. Como parte dos esforços contínuos, soubemos de um lote de credenciais de utilizadores do Dropbox que acreditamos ter sido conseguido em 2012. A nossa análise sugere que as credenciais estão ligadas ao incidente que reportámos nessa altura”, comentou a Dropbox à mesma publicação.
É certo que já houve ataques informáticos muito mais impactantes, mas este traz outro elemento para a mesa: a alegada falta de transparência relativamente ao ataque informático: no email e na situação no geral. Em 2012 a Dropbox nunca chegou a revelar o impacto total do ataque e só passados quatro anos é que o ficámos a conhecer – e apenas porque alguém começou a vender os dados publicamente.
Das três, uma: ou a Dropbox realmente não soube quantos dados foram roubados; ou a Dropbox não soube quantos dados foram roubados, veio a descobrir mais tarde e não revelou; ou a Dropbox sabia quantos dados foram roubados, mas preferiu não tornar público. Em qualquer um dos três cenários a Dropbox fica numa situação fragilizada.
Para uma empresa do seu tamanho e na área em que trabalha – armazenamento de ficheiros pessoais (!) -, saber que durante quatro anos mais de 60 milhões de passwords tenham sido exploradas por piratas informáticos e respetivos clientes do submundo da internet é mau. Ponto.
Mas este não é um caso único. Recentemente falámos de um caso com contornos muito semelhantes e que envolveu o LinkedIn. A 5 de junho de 2012 a rede social orientada para o segmento profissional confirmou o roubo de 6,5 milhões de passwords, mas também disse que não conhecia o espectro total do ataque. Em maio de 2016 soube-se que afinal tinham sido roubadas 117 milhões de senhas de acesso.
Kit de primeiros socorros
Como é que chegamos a estas situações? É verdade que um ataque bem executado pode deixar poucas pistas sobre os seus efeitos, tornando difícil às empresas perceberem o que aconteceu. É o jogo do gato e do rato jogado pelos melhores do mundo dos dois lados. Mas é muito grave que os dados sensíveis dos utilizadores estejam quatro anos nas mãos de cibercriminosos sem que ninguém saiba.
Parece claro que é necessário haver regras que ajudem a enquadrar a ação das empresas nos dias pós-ataques informáticos. Em primeiro lugar é preciso transparência relativamente à informação dos ataques: a empresa deveria ser obrigada a comunicar todos os estragos que conseguiu detetar num curto espaço de tempo e notificar de imediato todos os utilizadores afetados, mais não seja por precaução.
Deveria existir ainda um ‘guia de boas regras’ que as empresas tivessem de cumprir para que os utilizadores pudessem, em casos como estes, descartar por completo os cenários de ‘má fé’ ou ‘negligência’ das empresas. Extensas investigações têm de ser feitas para perceber qual foi afinal o espectro do ataque. Se nada for descoberto, então passamos à etapa seguinte.
Se a empresa não estiver certa da extensão do ataque deve imperar a lei da proteção por defeito: alertar todos os utilizadores para a possibilidade de os seus dados estarem a circular nas mãos de cibercriminosos. E estas informações têm de chegar aos utilizadores apenas algumas semanas depois, não passados quatro anos.
Claro que dentro desta transparência deve haver também algum sigilo para que a investigação não seja arruinada. O essencial a tirar desta ideia é que é necessária uma comunicação, o mais célere possível, para que os utilizadores não percam controlo das suas vidas online. A situação também prova a importância de ter diferentes palavras-passe para diferentes serviços. Isso e ativar os métodos de autenticação em dois passos.
O que os casos recentes de incidentes de segurança informática parecem mostrar é que as empresas ficam perdidas num limbo: proteger a reputação e ou sujeitar-se ao escrutínio público e proteger os utilizadores? Os utilizadores e a sua privacidade devem estar cada vez mais no topo das prioridades das empresas. Perante um cenário em que cada vez mais parece certo que não existem serviços totalmente seguros, aqueles que garantirem ainda assim uma melhor política de segurança serão os que no longo prazo vão acabar por perdurar.
Veja-se o exemplo da Apple: a tecnológica de Cupertino tem feito da segurança do iPhone – tanto a informática, como o próprio tratamento de dados sensíveis – um dos aspetos nucleares da sua estratégia no ano de 2016.
A ideia da definição de regras de cibersegurança para todas as empresas já esteve mais longe de ser concretizada. Por exemplo, a Comissão Europeia aprovou no final de 2015 a criação de uma política de cibersegurança uniformizada nos países da União Europeia.
Esta diretiva, conhecida como Segurança das Redes de Informação (NIS na sigla em inglês), apenas será aplicável aos chamados operadores de serviços essenciais.
Segundo estas regras e em caso de ataque informático, as empresas abrangidas estão obrigadas a dizer qual o número de utilizadores do serviço afetado, qual a sua dispersão geográfica, qual a importância da entidade no mercado nacional e europeu, assim como a sua quota de mercado. Sabendo o impacto dos danos é possível preparar uma resposta à altura.
Ou seja, precisam de comunicar o ataque e precisam de comunicar dados. Precisam de ser mais transparentes.
Em Portugal será o Centro Nacional de Cibersegurança que vai ter responsabilidades de coordenação nesta área.
“Nós seremos uma autoridade competente a nível nacional, seremos o ponto único de contacto a nível europeu relativamente aos incidentes que acontecerem nessas entidades. E aquilo que vamos fazer é aplicar estes modelos de maturidade, ou seja, chegar junto dessas entidades que terão obrigatoriedade de comunicar os incidentes e para tal terão de ter a capacidade de os detetar e de reagir a esses incidentes”, disse o coordenador do departamento de políticas e desenvolvimento estratégico do CNCS, Vítor Morais, numa entrevista ao FUTURE BEHIND, em maio.
A criação do dito ‘manual de instruções’ para os dias seguintes ao ataque informático não precisa de chegar ao patamar legislativo se as empresas por si só adotarem práticas mais transparentes e que protejam os interesses dos consumidores. Mas se não houver alternativa melhor, então que venham as leis.