Senhas de Servidores do Governo do Reino Unido e do Canadá Expostas. Quem é o culpado?
Hollywood gostaria que você acreditasse que precisaria de algumas coisas se quisesse roubar informações confidenciais dos governos de duas das maiores superpotências econômicas do mundo. Você precisaria de milhares de dólares em equipamentos com softwares sofisticados desenvolvidos por alguns dos melhores hackers do mundo. Você precisaria de muitas notas de 100 dólares cuidadosamente empilhadas em uma mala de couro e carregadas por homens com fones de ouvido e óculos de sol. Você também precisaria de funcionários do governo de terno preto e nervosos e, por último, mas não menos importante, de um adolescente com um capuz que sabe mais sobre computadores do que qualquer um poderia imaginar.
Essa é a versão deoseventos de Hollywood. O mundo real é muito menos glamoroso e um pouco mais assustador. Acontece que, não muito tempo atrás, o acesso às informações confidenciais pertencentes a organizações governamentais britânicas e canadenses envolvia nada mais do que um navegador da Web e conhecimentos básicos sobre como o Google funciona. Nós gostaríamos que estivéssemos brincando, mas nós não estamos.
Índice
Encontrar informações confidenciais na Internet é mais fácil do que você pensa
Kushagra Pathak é o pesquisador de segurança que fez essa descoberta alarmante. Usando nada mais do que o mecanismo de busca do Google, ele encontrou pela primeira vez um estoque de dados que pertencia ao governo do Reino Unido e incluía combinações de nome de usuário e senha que permitiriam a administração de servidores e o registro de domínios em nome do governo britânico. Uma parte do código-fonte de um dos sites do governo também era visível, assim como os códigos de acesso para chamadas em conferência, comunicação interna por e-mail e informações sobre bugs e políticas de segurança.
Depois de cavar um pouco mais, Pathak encontrou um outro conjunto de dados, desta vez propriedade do governo canadense. Ele viu as credenciais FTP, os detalhes de login da Eventbrite, as informações de gerenciamento de aplicativos da web e a comunicação sobre um incidente recente de segurança cibernética.
Ao todo, alguns dados bastante sérios eram visíveis para qualquer pessoa que soubesse onde procurar. Mas como isso acabou exposto?
Placas e cartões Trello mal configurados
O Trello, para aqueles que não sabem, é um aplicativo de gerenciamento de projetos que permite aos membros de uma equipe compartilhar informações com rapidez e facilidade e atribuir tarefas entre si. Cada tarefa é colocada em um cartão e é então "fixada" em uma placa que representa todo o projeto.
O governo britânico e o canadense, como tantas outras organizações ao redor do mundo, estavam usando cartões e placas Trello para gerenciar diferentes projetos. De alguma forma, no entanto, eles acabaram enfrentando a Internet publicamente, o que naturalmente significa que o Google os indexou.
Tudo o que Pathak tinha que fazer para chegar até eles era usar o modificador de pesquisa "inurl:". Pouco depois de perceber o que ele descobriu, Pathak entrou em contato com os responsáveis pela segurança cibernética dos dois governos e, em poucos dias, os dados não estavam mais acessíveis via Google.
Trello afirma que o problema não está relacionado ao design
Este não é o primeiro incidente desse tipo. Alguns meses atrás, Kushagra Pathak descobriu que organizações privadas também estavam expondo, inadvertidamente, credenciais de login e outras informações sensíveis através de cartões e placas públicas do Trello. Naquela época, provocou uma reação de Michael Pryor, co-fundador da plataforma de gerenciamento de projetos, que disse que, por padrão, os cartões e placas do Trello são definidas como privados e não podem ser acessadas por pessoas que não foram autorizadas a fazê-lo. Isso, como os usuários do Trello podem testemunhar, é verdadeiro, o que significa que as duas exposições aconteceram porque as pessoas responsáveis por manter os dados privados mudaram uma configuração muito vital.
Erro humano ou apenas preguiça?
Tanto os governos quanto as organizações privadas cujos dados foram expostos em maio têm vergonha de admitir o que aconteceu exatamente, mas está claro que há duas opções.
A primeira é que alguém cometeu um erro honesto. Às vezes, fazer uma placa ou um cartão público pode ajudar a levar um projeto adiante. É claro, no entanto, que se você alterar as configurações na placa errada, poderá acabar em apuros.
A segunda hipótese, algo sobre o qual o próprio Pathak especulou, é que a coisa toda aconteceu porque alguém estava com pressa de ir para casa. Ele diz que as pessoas que administram os conselhos podem ter decidido que criar um projeto privado e depois adicionar todos os indivíduos é muito trabalhoso. É por isso que eles tornaram os projetos públicos (pensando que ninguém iria se incomodar em procurá-los no Google) e depois enviaram os links.
Qualquer que seja a verdadeira razão, o fato é que, em ambos os casos, algo, em algum lugar, deu terrivelmente errado. Na verdade, algo ainda está errado porque uma simples pesquisa no Google mostrará que projetos públicos do Trello ainda estão expondo credenciais de login e muitos outros dados confidenciais.
