O NewsNow Aconselha Todos os Usuários a Alterar as Suas Senhas Depois da Violação de Dados
Sem usar nenhum canal oficial para anunciar as notícias ao mundo, a NewsNow, agência britânica de notícias, enviou notificações por e-mail para os seus usuários dizendo que pode ser necessário mudar algumas senhas. A mensagem foi compartilhada pela primeira vez pelo especialista em segurança Troy Hunt na segunda-feira, e o interessante é que isso deixa algumas perguntas sem resposta. Depois que a mídia recebeu a notícia, um porta-voz esclareceu o assunto e, embora algumas coisas permaneçam desconhecidas, vamos agora resumir os fatos.
O que aconteceu exatamente?
Aparentemente, o pessoal de TI da NewsNow estava revisando algum código quando percebeu que alguém instalou um backdoor em alguns dos seus servidores. Depois de colocá-los offline, eles fizeram algumas investigações e perceberam que a invasão foi possível graças a uma linha de código suspeita que permaneceu na infraestrutura do NewsNow por cerca de oito anos. O código foi corrigido e os servidores foram reativados, mas não antes de um novo sistema de autenticação ser implementado.
O NewsNow decidiu acabar com a senha completamente. No momento, se você quiser fazer o login na sua conta no site do agregador de notícias, clique no botão Entrar e insira o seu endereço de e-mail. O NewsNow lhe enviará um link de login e, obviamente, para chegar a ele, você primeiro precisa fazer o login no seu e-mail. Depois de seguir o link, você estará na sua conta do NewsNow.
As autoridades da NewsNow não podem dizer se alguma informação foi recolhida, mas o novo e complicado mecanismo de autenticação mostra que eles estão suspeitando do pior cenário ou estão sendo cautelosos. Falando nisso, se você já registrou uma conta no NewsNow, você também deve ser bastante cuidadoso.
O que as vítimas em potencial precisam fazer?
A boa notícia é que o NewsNow não possui muitos dados do usuário. Como apontam na notificação de violação, por exemplo, nenhum dado do cartão de crédito poderia ter sido roubado porque nenhum deles foi armazenado. As senhas foram armazenadas, no entanto, e enquanto o NewsNow não estava interessado em revelar muitos detalhes, a notificação dizia que as senhas eram "criptografadas", o que poderia ser preocupante.
Essa não é a primeira vez que uma vítima da violação de dados disse tal coisa, e isso pode significar uma de duas coisas. Talvez as senhas fossem hash e salted (como deveriam), mas os funcionários da empresa perceberam que poucas pessoas que leriam a carta entenderiam o que isso significa, então escolheram um termo menos preciso, porém mais comum. A outra opção é que as senhas simplesmente não foram armazenadas corretamente.
Infelizmente, o segundo cenário é muito mais provável. O e-mail diz que "não seria direito" decifrar as senhas e que, como o NewsNow não armazena informações pessoais confidenciais, ninguém vai se incomodar em tentar decifrar os dados (potencialmente) roubados.
O NewsNow pode estar subestimando a quantidade de tempo livre e a determinação que alguns hackers têm. Pior que isso, no entanto, é o fato de que, sem compartilhar detalhes técnicos, eles implicam que é possível recuperar senhas de texto simples a partir dos dados armazenados nos servidores que têm backdoor. E como não sabemos quando o backdoor foi instalado, qualquer senha que já tenha sido usada no NewsNow deve ser considerada comprometida.
Obviamente, se você usar senhas exclusivas em todos os sites, isso não é realmente um problema. O novo mecanismo de autenticação do NewsNow significa que senhas antigas não funcionarão. E mesmo se o fizessem, os hackers não conseguiriam roubar muito da sua conta.
Se você usou a mesma senha em outro lugar, no entanto, você deve alterá-la com urgência. Mesmo se você assumir que a mensagem "não direta" da mensagem da NewsNow é verdadeira, você deve ter em mente que, para muitas pessoas, esse é um desafio que elas estão dispostas a aceitar, não um impedimento. E como a reutilização de senha é tão comum, o benefício e potencial de se decifrar um grande número de senhas e usá-las em um ataque de preenchimento de credenciais é enorme.
Em outras palavras, o incidente não deve ser subestimado. Sim, nós não sabemos se os invasores pegaram alguma coisa, e não temos idéia do que é o algoritmo de hash (ou a criptografia) de senha. Apesar disso, a ameaça para as pessoas que reutilizam senhas é muito real. E, como descobrimos há alguns meses, muito poucas pessoas reutilizam senhas.
