O TripAdvisor Redefine Senhas Comprometidas. O Que os Usuários Precisam Fazer?
Na semana passada, alguns usuários do TripAdvisor receberam uma notificação por email relacionada à segurança da conta. Poderia muito bem ser o exemplo perfeito de uma boa ideia que não é muito bem executada.
O e-mail mostra que o TripAdvisor realmente está cuidando de seus usuários e por boas razões. Há alguns anos, as pessoas que usavam a plataforma de classificação de viagens e restaurantes estavam novamente recebendo notificações por e-mail. Naquela época, o TripAdvisor percebeu o acesso não autorizado a algumas contas e tentava alertar os usuários sobre isso.
O TripAdvisor não foi hackeado. Os criminosos usavam listas de nomes de usuário e senhas vazados durante violações de dados em outros serviços online e estavam aproveitando o fato de muitas pessoas terem reutilizado suas senhas. Em outras palavras, os usuários do TripAdvisor foram alvo de um ataque de credencial.
O TripAdvisor Tentou ser Proativo
O pessoal de segurança do TripAdvisor não quer que isso aconteça novamente, e é por isso que eles querem garantir que o menor número possível de viajantes use senhas comprometidas. Eles adquiriram bancos de dados cheios de combinações de e-mail e senha roubadas de outros serviços e começaram a compará-los com os dados de login de seus próprios usuários. Previsivelmente, eles encontraram mais do que algumas correspondências e estão alertando as pessoas sobre isso.
Todas as contas protegidas por senhas vazadas foram bloqueadas e, se os proprietários quiserem continuar usando o TripAdvisor, precisam escolher uma nova senha. Também será verificado em relação aos dados comprometidos e, se houver uma correspondência, a plataforma de viagens não permitirá. O alerta de e-mail é decorado com as dicas quase obrigatórias para tornar uma senha longa e complexa. Obviamente, também existe um aviso contra a reutilização de senhas.
A higiene das senhas das pessoas é péssima e forçá-las a se afastar das senhas que já estão comprometidas é provavelmente o primeiro passo que podemos dar para melhorar a situação. Muitos serviços on-line devem observar e seguir os passos do TripAdvisor. O problema é que eles podem (e devem) fazer um trabalho muito melhor.
A Falta de Informação e uma Notificação Menos Que Perfeita Deixaram as Pessoas em Dúvida
Pessoas interessadas em segurança cibernética ficaram bastante intrigadas com o e-mail do TripAdvisor. Inicialmente, eles pensaram que a plataforma de viagens havia usado o serviço de notificação de violação de dados HaveIBeenPwned para verificar as senhas dos usuários. Troy Hunt, criador do HaveIBeenPwned, no entanto, não confirmou isso, o que deixou as pessoas imaginando de onde o TripAdvisor obteve os dados comprometidos. Eles também estão se perguntando o que essa verificação pode significar para os mecanismos de armazenamento de senhas do TripAdvisor.
Infelizmente, essas perguntas permanecem sem resposta. O TripAdvisor não anunciou o teste oficialmente e não disse nada sobre a maneira como o fez. Embora as pessoas estejam fazendo perguntas, o serviço online ainda não divulgou nenhuma informação.
O e-mail dificilmente é a definição de convencer também. O fato de começar com "Caro viajante do TripAdvisor" e o link para a página de redefinição de senha fez com que algumas pessoas pensassem que era uma fraude de phishing. Felizmente, não é. O email é 100% legítimo e, se você o recebeu, definitivamente deve lê-lo com atenção e seguir as instruções.
Apesar de todas as suas boas intenções, o TripAdvisor deveria saber que quando a privacidade das pessoas está em risco, a transparência é crucial. A falta de informações oficiais e a maneira como o email foi projetado deixaram as pessoas em dúvida, e isso não deveria ter acontecido.
Felizmente, a próxima plataforma que decide fazer com que as pessoas se livrem de suas senhas roubadas será mais direta sobre o que está fazendo e como.
