image Source: Stephencdickson / Wikipedia
A violação de dados do LinkedIn já está se tornando um dos incidentes de dados recentes mais controversos e preocupantes. E prova que uma violação de dados é definitivamente uma violação de confiança - entre o fornecedor e o usuário final… e entre o usuário e seus hábitos. As cores verdadeiras de qualquer pessoa são mostradas quando há um problema, e “obrigado” violações:
- Aprendemos exatamente o quão segura são nossas informações pessoais;
- Aprendemos como as empresas multimilionárias estão preparadas para enfrentar uma crise.
- Aprendemos o quão vergonhosamente fácil as empresas multimilionárias de hackers são realmente.
A reação geral do LinkedIn - desde o momento em que souberam do problema 2012 até hoje - é inadequado, para dizer o mínimo, mesmo que eles começaram a usar hashes salgados para armazenar senhas após o 2012 violar e adicionou autenticação em duas etapas. Contudo, o LinkedIn é o único culpado aqui? Quem é o culpado quando se trata de incidentes de dados?
Porção de culpa do LinkedIn
Para fazer uma observação, ou talvez apenas para testar o bom senso do LinkedIn (de segurança), TrendMicro Raimund Genes fez um experimento. Sendo um dos milhões afetados pela rede vazamento de credenciais, ele recebeu um email solicitando que ele alterasse sua senha. Isso é o que aconteceu.
Se eu tivesse escolhido Raimund_Genes como minha senha, teria sido marcado como verde, uma senha justa. Quando tentei o Linkedin_Raimund, também é marcada como uma senha forte, Não é isso que eu chamaria de senhas fortes. Você teve uma violação e está recebendo alguma atenção: use esta oportunidade para reeducar os usuários sobre o uso forte de senhas.
Como o autor aponta, não apenas a classificação do mecanismo de senha é insuficiente, mas o LinkedIn também pegou e exibiu seu navegador, Informações do SO, e sua localização. Não é uma prática segura, considerando as consequências dessa violação - 117 milhões de credenciais pessoais vendidas na Dark Web por centavos. além disso, onde exatamente é a explicação honesta do LinkedIn? Eles sabiam o que estava acontecendo, mas não fizeram nada para impedir que o vazamento fosse completamente desonesto.
Embora a notificação de violação sempre tenha sido um assunto complicado, garantias superficiais não são suficientes, não quando as empresas mantêm tantos dados valiosos. A confiança dos usuários é essencial para qualquer empresa.
Duas perguntas que precisam ser respondidas o mais rápido possível:
- Embora tenha sido confirmado como autêntico, como exatamente uma violação dessa escala permaneceu oculta?
- Isso nos diz quem foi responsável pela violação em primeiro lugar, e como as informações foram usadas?
Também devemos culpar nossos maus hábitos
A culpa é do LinkedIn, mas nós também. As redes sociais estão sempre ligadas a riscos, especialmente quando não fazemos nada para nos proteger. Sejamos honestos, com que frequência lemos as atualizações da política de privacidade, termos de uso, etc., dos serviços que usamos?
Quantos usuários aplicam o que é disponibilizado a eles (2FA, apesar de seus resultados controversos é melhor do que nada) para melhorar a segurança de suas contas?
além disso, como visível pelas senhas vazadas, a frequência de tais incidentes não parece melhorar a higiene da senha dos usuários. Senhas fracas definitivamente facilitam o acesso de hackers às contas de força bruta.
O que devo fazer para proteger minhas senhas?
Opção 1: Use um gerenciador de senhas
A média gerenciador de senhas se instalaria como um plug-in de navegador e cuidaria da captura de senha.
Como funcionará? Quando você entrar em um site seguro (HTTPS), o gerenciador de senhas iria oferecer para salvar seus logins. Quando você voltar para essa página, o gerente irá preencher automaticamente as suas credenciais, e formulários web, por vezes,. A maioria dos gerentes de senha oferecem um menu navegador barra de ferramentas de todos os logins salvos para tornar mais fácil para efetuar login em sites de salvos.
Contudo, gerenciadores de senhas são aplicativos, e aplicativos também podem ser invadidos. Nada é completamente seguro hoje em dia. Então chegamos à opção 2.
Opção 2: Melhore seus hábitos
Talvez a melhor maneira de proteger suas senhas seja a mais óbvia – mude suas senhas com frequência e use combinações de letras, números, símbolos, e maiúsculas. Senhas longas e complexas dificultam a execução de invasores ataques brutais.
- Se suas credenciais foram comprometidas em uma violação de dados, não recicle sua senha antiga. Certifique-se de criar novas senhas, seguindo as dicas acima. Você pode verificar suas senhas’ força através de sites como PasswordMeter.
- Se o serviço online oferecer autenticação de dois fatores, use-o! Verifique a proteção adicional disponível e aplique-a.
No geral, o que podemos esperar é que o LikedIn tenha aprendido a lição e que a empresa estabeleceu um padrão do que não fazer quando você sofrer uma violação. As empresas precisam se tornar mais diretas sobre a privacidade de seus usuários. Se não, repetindo que seus usuários’ privacidade é a sua principal prioridade não passa de hipocrisia.