Digital Drops Blog de Brinquedo

Google confirma comprometimento de contas do Gmail no último final de semana

Por em 23 de julho de 2013
emApple e Mac Google Internet Linux Meio Bit Segurança relacionados    
Mais textos de:

Twitter
  • Romulopb

    A alguns anos eu sabia menos acreditava mais era sonhador ;)
    Minha senha era uma porcaria, facílimo de identificar, sequencias claras; resultado… acesso da China… Talvez a Google não esteja enrolando, eu não duvido, ja passei por isso e não nego minha negligência, a gente acha que é inatingível até eles chegarem na sua senha…

    É muito simples, senha de verdade (exemplo gerado no lastpass : Oe$oJbU*PXBuv*d5), um gerenciador de senhas para só ter de lembrar de uma senha confusa, e two pass… Mas de fato é desagradável, principalmente no celular, senhas grandes e confirmação de mensagem no celular…

    Custa usar umas senhas complexas com 12 ou mais dígitos e custa usar 2 pass nos serviços que fornecem? SIM, era infinitamente mais fácil gerenciar a senha… Me forço a fazer os rituais em contas importantes e fico mais tranquilo…

    Eu por exemplo não faço ideia de como alguém teria acesso com two pass a sua conta sem uma coisa MUITO macabra para desviar SMSs pra outros celulares…

    • Mattheus

      Minha conta foi invadida nessa leva aí da matéria, mesmo eu tendo uma senha considerada forte pelo próprio google e com a minha pergunta secreta do mesmo nível, o invasor conseguiu acertar o desafio de acesso, na primeira tentativa e acessar minha conta trocando a senha. Conclusão brecha do google…que nunca irá assumir.

      • Romulopb

        Não é mentira… Minha senha tinha 9 dígitos e era considerada forte também, mistura de números e letras com case e não tinha pergunta secreta, não dava essa chance…

        sequencias previsíveis sempre estão no topo dos testes, quebras por rainbow table, 123214Kde parece uma senha forte? O goggle diz que é… agora mudar aquilo ajuda? Não sei, se o troço so validar como verdinho uma senha de 12 dígitos a pessoa vai pensar, aff eu não vou lembrar que seja fraca então… Afinal estas coisas nunca aconteceram comigo. ;)

        Repito… a gente não percebe mas negligencia Não adianta, cabe a gente ser prudente, principalmente quem entende da área, segurança é uma das coisas que nunca é de mais, não é uma ciência exata rs, só quem abusa de segurança pode dizer que garante algo…

        E olhe lá… A gente começa a desenvolver uma percepção bem diferente quando passa pelas coisas… É aquele tipo de coisa, como qualidade de software (rsrs), parece que não tem fim… é uma enrolação de conceitos processos modelos e normas e instituições e o diabo… Mas é a realidade e não da pra viver sem se quer garantir algo.

        • Mattheus

          Sim claro ter esse cuidado é fundamental, mas tem que concordar que alguem acertar uma pergunta secreta de primeira é tenso. Acho que nem eu acertaria a minha de prima..rsrs

          • Romulopb

            É possível que tenha vazado obviamente dados do Google, eu não duvido disso também, as hashs que correspondem as respostas das perguntas de n usuários por exemplo. Não foi a minha percepção pelo menos da minha experiencia.

            Mas o importante é a lição que a vida da, sofrida, doida! rsrs =)

            Não é a NASA o Google a Apple ou a policia que vão te proteger de ti mesmo… Perguntas secretas por exemplo são uma péssima politica, você pode usar mas não é bonito…

            Dicas, chaves originais semanticamente relevantes, com ordens aparentes ou dados sensíveis simplesmente colocam todas as tecnologias num mesmo nível muito baixo de eficiência, quando boas tecnologias deveriam fornecer custos computacionais na ordem de 2^60 o que é eficiente, as vezes caem para 2^30, 2^20…

            Enfim não existe produto tão simples que não exista alguém capaz de usá-lo errado. rsrs

            Ninguém quer mostrar que deu algo errado… De qualquer forma ainda considero que a Google apresenta as melhores tecnologias de segurança por ai no sentido que te oferece a flexibilidade de pular para altos níveis de segurança…

          • Mattheus

            Discordo da sua posição com relação as perguntas secretas, uma vez que a única forma de se quebrar uma resposta seria por bruteforce em cima do google o que com certeza seria detectado e bloqueado imediatamente. Quanto a vazarem os hashs acho pouco provável, pq a exposição de uma informação desse nível de granularidade não viria sozinha.

          • Romulopb

            Não entendi você esta voltando atrás na sua teoria?

            Como você acha que quebraram sua pergunta secreta a “queima ropa”? Se não acha que foi por seu descuido em alguma engenharia social das vidas, sorte do maroto, resposta ridiculamente simples… então a chave vazou do servidor… Se a Google tem uma politica minima de segurança, nem ela tem acesso a esses dados (valor original da sua resposta).

            Você realmente cogita que eles ficaram la requisitando ao servidor, tenta essa chave, tenta essa outra, e o servidor detectou que a pergunta quebrou na primeira tentativa?

          • Mattheus

            Não entendi você esta voltando atrás na sua teoria?

            Desculpa camarada eu acho q vc nao entendeu minha posição, aliás não formulei teoria só disse que acho a sua teoria da quebra hash contendo a resposta da pergunta secreta não faz sentido.

            Você realmente cogita que eles ficaram la requisitando ao servidor, tenta essa chave, tenta essa outra, e o servidor detectou que a pergunta quebrou na primeira tentativa?

            É realmente vc nao entendeu o que eu quis dizer.

          • Romulopb

            Ok como você acha que eles tiveram acesso a sua resposta secreta?

          • Mattheus

            cara o exploit foi em cima do desafio lançado para o invasor, eu sinceramente não sei se esse desafio foi a pergunta secreta, no histórico eles não dão esse detalhe…

          • Romulopb

            então porque você diz que eles quebraram a sua pergunta secreta na primeira tentativa? Talvez você esteja se referindo a fraudar a interação do programa…
            Você simplesmente não burla um algoritmo hash e faz ele pensar que computou uma hash correta remotamente…

          • Mattheus

            Veja o que eu disse: mas tem que concordar que alguem acertar uma pergunta secreta de primeira é tenso.

            O que quis dizer com essa frase, camarada, era que eu acho que NÃO foi respondendo a pergunta secreta que eles conseguiram minha conta.

            Você simplesmente não burla um algoritmo hash e faz ele pensar que computou uma hash correta remotamente…

            camarada, sei bem que um hash não se burla e acredito que com certeza eles não tiveram acesso ao hash e mesmo que tivessem, provavelmente iriam levar muito tempo computando todos os hashs dessas contas que invadiram…

          • Romulopb

            Então você acha que eles burlaram todo esse aparato e chegaram direto nos dados sem informar senha nem pergunta secreta, mudaram sua senha e depois forjaram esta resposta para fazer parecer tal?

          • Mattheus

            Eu disse isso em algum momento? Caracas amigo difícil hein, em nenhum momento eu citei essa cronologia de fatos, tá enchendo já suas indagações, vamos parar por aqui porque nao vai levar a nada esse papo, além do mais quem perdeu e recuperou a conta fui eu e no mais fod***-se como eles conseguiram.

          • Romulopb

            ok não precisa ficar irritado eu só estou tentando achar sentido na sua história. rsrs pois nenhum argumento que apela a obscuridade tem muito sentido, só isso…

          • Mattheus

            amigo, ja te disseram q vc tem uma mania chata de achar q sabe oq as pessoas estão pensando ou sentido??? Eu não to irritado camarada… Então, encerrando o assunto vamos assumir o argumento do google que a culpa foi dos usuários, incluíndo eu, que colocamos a mesma senha em diversos sites. pronto, ok?

          • Romulopb

            É mesmo? Que coisa, lamento mas sou assim mesmo enfim… Eu só queria entender o que você achava mais plausível que tivesse acontecido alem do incógnito… Ok encerramos, olha tanto faz se concordamos no argumento ou não, quer encerrar encerra rsrs, poderia ter feito isso a muito tempo alias… até mais.

    • Bruno Rocha

      Provavelmente alguém vazou dados do Gmail, ninguém acerta pergunta secreta assim.

      Tenho 5 contas no Gmail que só uso pro youtube, cujo email secundário não tem ligação com o pessoal, nem senha, nem nome, e nenhuma dos Gmails foram invadidos. Quando algum pilantra vaza informações da empresa, nem as melhores senhas escapam.

      Eu costumo usar palavrão como senha, é uma coisa um tanto estranha à primeira vista, mas é menos óbvio para um invasor, ainda mais quando misturo nomes em inglês e português.

      Boobsacudo0101
      Peitomacarrao1961 (não é o ano que nasci)

  • qgustavor

    Meu problema atual não é só a Google, e sim o Twitter: resetaram minha senha dizendo que foi invadida (deve ser automático, já que troquei de IP e navegador, com outras palavras, usei Firefox no serviço).
    Mas tudo bem, fiz login de novo, digitei o código que recebi por SMS, e… me mandaram para a tela de login de novo, sem sequer mostrar uma mensagem de erro, nada. Tento de novo e se repete.

    Tá, deve ser erro de cookie, como disse troquei de navegador, mas se por um lado fazem isso por segurança por outro ao menos uma mensagem de erro poderia ser mostrada. Sem falar no incômodo que isso causa, já verifiquei a conta com mais de cinco SMS, não precisaria nem de captcha, o que teve.
    Mas a Google não fica para trás, o gmail estava bugado esses dias também.

  • Vinicius K.

    Foi por isso que fui avisado que houveram tentativas estranhas de login na minha conta ontem, uma da Rússia e outra do Canadá.

    Mudei minha senha e ativei a autenticação em duas etapas (tava me enrolando pra fazer isso, rs.)

    • Ricardo Fraga

      A 2SV é amor em forma de segurança. Desde que ativei na minha conta (utilizo desde o final de 2010, quanto pude testá-lo antes de ser liberado aos usuários), nunca mais me preocupei com a segurança da minha conta.

      Além de dois números de telefone (o principal e o backup), ainda tenho o Authenticator no Android e os códigos de backup anotados em um lugar seguro. Acesso a minha Conta Google em lan house sem medo. :)

  • hamacker

    Senha em duas etapas pode ser mais burocrática, afinal receber pin por sms pode até demorar um pouco, mas funciona bem. Eu mesmo tenho pin para cada dispositivo/app, não basta a senha.

    Administrar senhas tá cada vez mais complicado.

    • OverlordBR

      Não precisa receber o PIN via SMS… no caso do Google, é só utilizar o Google Authenticator.

      E dá para usar uma combinação paulada: GMail em 2 etapas + LastPass em 2 etapas + Google Authenticator no celular para fechar tudo. :)

      Fora o básico que o Ricardo Fraga postou logo ali em cima: “dois números de telefone (o principal e o backup)… e os códigos de backup anotados em um lugar seguro”.

  • Wilson Machado

    “na maior parte dos casos de comprometimento, a culpa é dos usuários,
    que, definitivamente, não se preocupam em manter as suas contas seguras”

    ainda bem que vc disse “na maior parte dos casos” pois no dia 17 o google reportou uma tentativa de acesso ao meu e-mail, vinda de uma cidadezinha no interior dos estados unidos “coffeville” e solicitou que eu alterasse minha senha. o que fiz imediatamente. sempre uso senhas seguras com caracteres maiúsculos e minúsculos, números e caracteres especiais, e sempre com no mínimo 10 caracteres. e só acesso meu email de três máquinas. não tive prejuízo, mas passarei a troca a senha com maior frequência.

    • Romulopb

      existem algumas coisas que aconselharia você verificar no sua conta… dentre elas as configurações. Eu aconselho sempre verificar sua assinatura, resposta de féria, coisas do tipo, configurações POP e IMAP caso você não use preferencialmente deveriam estar em off… E como podem ter tido acesso a sua conta como um todo, sites/serviços que estão liberados para acessar dados de sua conta e afins. São fatores de risco de que sua conta ainda possa estar servido a algum proposito ou fornecendo dados.

      • Wilson Machado

        na verdade o google enviou-me um alerta informando que tinha bloqueado uma tentativa de acesso pois não reconhecia a origem (ip) e sugeriu que eu mudasse a senha imediatamente. o que fiz.

  • Luiz Felipe

    Samara? vish.