O caso que aconteceu no último final de semana serviu de alerta para a Apple e todos os serviços de nuvem, além dos próprios usuários. Após um jornalista ter tido a sua conta iCloud invadida e todos os seus dados pessoais apagados, iniciou-se uma investigação para entender como os criminosos conseguiram tal façanha, chegando-se a conclusões importantes que envolvem Apple e Amazon. E o próprio jornalista assume: “Foi um pouco culpa minha, isto poderia ter sido evitado“.
Para Mat Honan, a vítima da invasão, o grande problema é que ele sempre teve todas as suas contas interligadas umas as outras. Apple ID interligada com conta do Gmail, que era associada à conta do Twitter, que no final das contas, era o objetivo final dos criminosos, para publicar mensagens racistas e homofóbicas. E isso poderia ter sido evitado se ele tivesse adotado a verificação em duas etapas do Google.
Mas como os invasores conseguiram que os técnicos da AppleCare fornecessem acesso à conta de Mat, pelo telefone?
A Apple faz algumas perguntas de segurança para se certificar de que a pessoa é mesmo quem diz que é. São elas:
– Endereço onde mora
– O endereço eletrônico @me da pessoa
– Os 4 últimos números do cartão de crédito associado à conta
O endereço pode ser facilmente conseguido procurando nos registros de domínio do jornalista. Infelizmente esta informação é exposta para todos na maioria dos provedores. O endereço @me foi conseguido na página de recuperação de senha do Google, e os números do cartão de crédito, pela conta da Amazon. A mesma informação que para a Apple é importante, a Amazon acha trivial, expondo os 4 últimos números do cartão para todo mundo ver. E foi assim que eles fizeram: descobriram primeiro as informações vitais e depois ligaram para a Apple, se fazendo passar pelo jornalista.
A partir daí, não foi difícil ter acesso aos outros serviços, pois todos estavam interligados.
A Apple emitiu um comunicado oficial sobre o caso:
A Apple leva a sério a privacidade dos usuários e requer múltiplas formas de verificação antes de redefinir uma senha de ID da Apple. Neste caso específico, os dados do cliente foram comprometidos por uma pessoa que havia adquirido as informações pessoais sobre o cliente. Além disso, descobrimos que as nossas próprias políticas internas não estavam sendo completamente seguidas. Estamos revendo todos os nossos processos para redefinir senhas de conta para garantir que os dados de nossos clientes sejam protegidos.
O caso revelou diversas brechas de segurança entre os serviços de internet. Um serviço deixa vazar informações que são importantes para outro, e vice-versa, permitindo que se faça uma “engenharia social” para se descobrir senhas e informações pessoais de qualquer um. O que aconteceu pode ter sido terrível para a vida pessoal do jornalista (que perdeu para sempre um ano de fotos da sua filha), mas foi muito importante para que os atuais serviços de nuvem melhorem ainda mais a segurança dos dados.
O mundo moderno se dirige para a transferência para as nuvens (clouds). A Apple está investindo pesado no iCloud, o Google e a Amazon tem tudo na nuvem e a Microsoft também está tomando o mesmo caminho. Por isso, é inútil dar a culpa para os serviços de nuvem, pois eles parecem ser um caminho sem volta. O que temos que fazer é nos preocupar em manter nossos dados sempre seguros e com poucas brechas de segurança.
Algumas dicas de segurança:
– use sempre senhas com mais de 8 dígitos, que contenham números entre as letras (tipo b10gdoiph0n3, ou coisa parecida). É um saco digitar isso sempre, mas é a certeza que sua conta está segura
– não associe sua conta da Apple para a recuperação de senhas em serviços externos, como Google, Yahoo, Hotmail e outros. Há quem sugira criar uma conta separada só para recuperação de senhas, que ninguém saiba o endereço.
– se você tem conta no Google, habilite a verificação em duas etapas
– faça sempre backup. Sempre.
Que tudo isso sirva para ficarmos ainda mais seguros com nossos dados. :)