Uma Violação de Dados na Loja On-Line da Adidas Atinge Milhões
Grandes eventos esportivos, como a Copa do Mundo da FIFA, são muito importantes para os fabricantes de roupas esportivas. Com milhões de olhos focados em pessoas usando os seus produtos, a atenção dada à marca é enorme. Na semana passada, a Adidas, um dos grandes nomes dessa indústria, atraiu a atenção para si mesma por todos os motivos errados.
Em 26 de junho, a gigante alemã de equipamentos esportivos foi contatada por uma pessoa que alegou ter roubado dados "limitados" de alguns clientes da Adidas. Uma investigação foi lançada, e a falha de segurança estava aparentemente ligada. Dois dias depois, a Adidas emitiu um comunicado à imprensa. Vamos ver o que podemos aprender com isso.
A Boa Notícia
A investigação ainda está em andamento, mas a Adidas foi rápida em apontar que nenhum cartão de crédito ou outras informações financeiras foram expostas, o que é definitivamente uma boa coisa. Depois de analisar o comunicado à imprensa, pudemos encontrar evidências sugerindo que a Adidas está lidando com o incidente de maneira responsável.
A equipe de TI da empresa pediu a especialistas em segurança e agências de aplicação da lei para ajudá-los a investigar o problema e reduzir os riscos. O anúncio também afirma que, uma vez que eles souberem exatamente o que aconteceu, a Adidas entrará em contato com todos os clientes afetados.
As Notícias não tão Boas
Embora possamos encontrar uma ou duas boas coisas, o anúncio da Adidas é muito curto e pouco informativo. De fato, a investigação não acabou, mas o comunicado à imprensa não pode nos ajudar a ter uma ideia de quão ruim é o incidente. Interpelados pela mídia, representantes disseram que "alguns milhões" de clientes dos EUA provavelmente serão afetados. Não é um número conclusivo, e isso pode mudar, mas é justo dizer que a Adidas poderia ter feito algo pior do que colocar isso no comunicado à imprensa, só para dar às pessoas uma pista sobre o quanto as coisas estão ruins.
A parte do comunicado de imprensa que explica que tipo de dados foram roubados também é problemática. Vimos o nosso quinhão de anúncios de violação de dados, e podemos dizer com segurança que muitas pessoas que os escreveram não estão totalmente cientes da diferença entre "senhas criptografadas" e "senhas com hash e salgadas". E se essas pessoas não têm a menor ideia, os usuários muito menos ainda.
Isso foi o que a Adidas nos deu: "De acordo com uma investigação preliminar, os dados limitados incluem informações de contato, nomes de usuário e senhas criptografadas".
Se assumirmos que as senhas estão de fato criptografadas, temos más notícias. Proteger as senhas dos consumidores com criptografia reversível não é uma boa ideia.
Vamos dar uma olhada em um cenário mais otimista.
Imagine a cena: a Adidas está preparando o anúncio e uma pessoa do relações públicas está conversando com um especialista em segurança para descobrir o que aconteceu:
Especialista em segurança: As senhas são hash e salgadas, então as pessoas não têm com o que se preocupar.
Pessoa do RP: Hashed e o quê?
Especialista em segurança: basta informar que as senhas foram criptografadas. As pessoas associam automaticamente criptografia à segurança.
PR pessoa: Soa bem para mim.
Isso, reconhecidamente, é baseado na suposição de que o pessoal de marketing não entende os princípios de armazenamento de senhas que podem estar completamente errados. Mesmo se considerarmos que a Adidas é uma empresa voltada para a segurança que contém as senhas de seus clientes, ainda não podemos dizer às pessoas que elas estão seguras. Principalmente porque existem muitos algoritmos de hashing, e alguns são mais seguros do que outros. Não podemos adivinhar qual (se algum) a Adidas usou.
A redação do comunicado à imprensa deixa os clientes sem outra opção a não ser mudar as suas senhas na loja da Adidas nos EUA. Se elas forem reutilizadas em outros sites, também deverão ser alteradas nesses sites. Como os endereços de e-mail provavelmente já foram expostos, os clientes da Adidas também devem ser cautelosos com os ataques de phishing.
Goste ou não, as violações de dados fazem parte das nossas vidas online, e você deve estar ciente do que precisa fazer quando os seus dados vazarem. Como você pode ver, isso inclui identificar algumas palavras não convincentes nos comunicados à imprensa feitos após um incidente nas empresas.
