Robinhood Acidentalmente Deixou Algumas das Senhas de Seus Usuários em Texto Simples
A Robinhood Markets Inc. é uma empresa de serviços financeiros de propriedade privada que é mais conhecida por seu aplicativo de negociação de ações sem comissão. Ela concluiu recentemente sua última rodada de financiamento e acredita-se que valha mais de US $ 7,6 bilhões. Você pensaria que Robinhood estaria perfeitamente ciente do que deveria e o que não deveria ser feito quando se trata de armazenar senhas , especialmente considerando o fato de que seu serviço principal gira em torno da troca de grandes quantidades de dinheiro. Na maioria das vezes, é uma suposição justa, mas como os desenvolvedores de Robinhood aprenderam por conta própria, erros podem ser cometidos e, quando isso acontece, o dano potencial pode ser bastante devastador.
Índice
Como o Robinhood geralmente armazena as senhas dos usuários
Discutimos o assunto nessas páginas, e já mencionamos que, se um serviço online armazenar sua senha corretamente, suas credenciais de login não devem ficar visíveis para ninguém, incluindo os funcionários do provedor. Os desenvolvedores que projetam seus aplicativos e sites de acordo com as melhores práticas da indústria colocam as senhas das pessoas em uma função criptográfica chamada hashing antes de armazená-las em um banco de dados. Hashing converte sua senha em uma seqüência aleatória de caracteres (chamada de valor hash) que não tem nenhuma semelhança visual com a sua senha, e como a função é (teoricamente) irreversível, os hackers não podem usar o valor hash para adivinhar o seu A senha é.
Hashing também tem suas armadilhas. Recentemente, falamos sobre como algoritmos de hash desatualizados, como o MD5, podem colocar suas senhas em risco. Também discutimos como a aplicação de sais criptográficos é parte integrante do processo de hashing, pois garante que duas senhas idênticas não produzam os mesmos valores de hash.
Robinhood fez sua lição de casa. Uma página de ajuda intitulada " Como você está protegido " diz que as senhas dos usuários são criptografadas com o bcrypt. Esta é uma boa notícia. O Bcrypt é amplamente reconhecido como um dos mais fortes algoritmos de hash atualmente disponíveis, e possui funcionalidade de salga integrada a ele.
Com base nas informações que temos, podemos dizer que o sistema é provavelmente bem projetado. Recentemente, no entanto, algo deu errado.
Senhas Robinhood foram deixadas em texto plano devido a um erro técnico
No início desta semana, alguns usuários do Robinhood começaram a receber notificações informando que suas senhas não haviam sido manipuladas corretamente. Os e-mails foram relatados pela primeira vez pelo ZDNet , e eles declararam que as senhas de algumas pessoas "podem ter sido" armazenadas em um formato legível nos servidores de back-end de Robinhood. Assim que descobriram a falha, os desenvolvedores do aplicativo começaram a corrigi-la e, quando as notificações acabaram, a vulnerabilidade já havia sido resolvida. A equipe de Robinhood disse que eles não têm evidências de que alguém de fora da empresa tenha analisado as senhas, mas apesar disso, eles ainda disseram que os usuários afetados podem querer mudar suas senhas "com muita cautela". A ZDNet perguntou a Robinhood sobre o número de contas afetadas, mas os porta-voz do aplicativo decidiram não revelá-lo.
Esta não é a primeira vez que isso aconteceu
Deve ser dito que as pessoas que trabalham para serviços on-line muito maiores do que Robinhood cometeram erros semelhantes. No ano passado, por exemplo, o Twitter revelou que, por um breve período, armazenou as senhas de todos os seus 330 milhões de usuários de forma simples. Semanas antes, o GitHub admitiu que alguns de seus funcionários também podiam acessar as credenciais de login das pessoas em texto simples. Em outras palavras, essas coisas acontecem de vez em quando. Robinhood não é o primeiro aplicativo a expor internamente senhas de pessoas, e provavelmente não será o último.
Isso não torna o problema menos sério. De fato, em todos esses casos, as senhas eram acessíveis apenas aos funcionários, o que limita um pouco o perigo. No entanto, os desenvolvedores devem fazer tudo o que puderem para garantir que esses erros sejam evitados no futuro.
