Meio Bit » Internet » As Sereias Transgênero e a Segurança da Informação

As Sereias Transgênero e a Segurança da Informação

Segurança da Informação é coisa séria, o que ONG de proteção a pessoas trans do UK aprendeu da pior maneira, ao vazar dados sensíveis por incompetência

5 anos atrás

Na eterna briga entre conservadores que acham que transgêneros não existem e tudo se resolve com uma surra de gato molhado, e o pessoal do Tumblr que acredita em 348943 gêneros, incluindo maionese, no meio disso tudo, as verdadeiras vítimas são as pessoas trans, que além de lidar com falta de segurança e todo o estigma social de sua condição, ainda precisam lidar com seus conflitos internos.

Sereia meramente ilustrativa (Crédito: Divulgação/Disney) / segurança

Sereia meramente ilustrativa (Crédito: Divulgação/Disney)

Mesmo que a criatura tenha a sorte de nascer em países não-shithole, esclarecidos o suficiente para saber que 1 - transgêneros não são sinônimos de homossexuais e 2 - mesmo que fossem pena de morte é meio pesado demais pra isso, ainda vão sofrer muito bullying, olhares esquisitos e gente com o coração cheio de amor e compaixão explicando que são abominações e queimarão no inferno.

Para combater isso existem muitas ONGs e OGs. Uma dessas é a Mermaids UK, que tem vários projetos para auxiliar adolescentes trans, com acompanhamento profissional de psicólogos, conselheiros e médicos.

É um assunto sensível e pessoal para todo mundo envolvido, mas aparentemente o pessoal do Mermaids não tem a mesma seriedade na área de TI, tanto que o impensável aconteceu: milhares de correspondências entre pais e jovens transgêneros que buscavam auxílio da ONG vazaram para a Internet. Não, não foi hacker, foi incompetência mesmo.

Segundo o The Times, as mensagens incluíam dados pessoais, relatos íntimos, endereços, telefones, pacote completo. As mensagens estavam acessíveis a qualquer um que usasse uma incrível ferramenta secreta de hackers: O Google.

Isso mesmo. O webmaster (ainda se usa esse tempo?) não entendia como robôs indexadores de sites de busca funcionavam, e deixou um diretório com as mensagens, provavelmente em PDF (estou chutando aqui) acessível online.

Basicamente o diretório estava exposto, com direito a leitura de diretório E arquivos. O robô do Google pegou algum arquivo diretamente ali, vindo de outro link, tipo servidor.com/dados/pessoais/nick&bailey.pdf e como bom fuçador tentou ler servidor.com/dados/pessoais/ pra ver se tinha acesso. Tendo, passou a indexar todos os arquivos.

A ONG correu para consertar a hagada, disse que o vazamento não era tão sério, etc, etc, você sabe, procedimento-padrão. Em verdade provavelmente não foi, não há nenhuma organização de caça a transgêneros no Reino Unido, e não é uma Arábia Saudita da vida, onde o simples ato de fazer crossdressing já é o suficiente para o cidadão levar multas, chibatadas, prisão perpétua, pena de morte ou tortura, provavelmente não necessariamente nessa ordem.

Falha de Segurança Grotesca

A configuração mal-feita do servidor web do Mermaids UK infelizmente não é rara. Existem inúmeros servidores mal-configurados e os sites de busca indexam todos eles. Como resultado, há todo tipo de informação delicada exposta por aí, de documentos do Word a arquivos de senhas e fotos, muitas fotos.

A maioria dos softwares de galeria de imagens é feita por adolescentes aprendendo PHP, e o resultado é zero segurança. E não, a maioria desses adolescentes não entendem o conceito de controle de acesso do Unix, e metem um CHMOD 777 em todo diretório que criam.

É complicado falar sobre Google Hacking sem comprometer demais a segurança alheia, então vamos a um único exemplo: pessoas gostam de criar diretórios para imagens sem se preocupar em bloquear o diretório para listagem, e acabam colocando neles muito mais do que imagens destinadas à web.

Uma forma BEM simples de achar esses diretórios é, no Google, pesquisar por:

inurl:pictures intitle:index.of

Você essencialmente está dizendo para ele retornar os resultados que tenham o termo "pictures" na URL, como em www.servidor.com/private/scarlett/personal/pictures e que no documento tenham o termo "index.of", gerado pelo servidor web quando lista um diretório.

Um exemplo simples (Crédito: acervo internet)

Um exemplo simples (Crédito: acervo internet)

Como se proteger

É incrivelmente simples. Primeiro de tudo: nunca suba para seu servidor web nada que você não esteja confortável em ver acessado por terceiros. Nada de "ir guardando" arquivos para uso futuro, ou para mostrar para os amigos. Se está no servidor web, parta do princípio que vai ser acessado, mesmo que você tenha certeza de que não está aberto para o mundo.

Proteja seus bancos de dados. Cansei de ver site hackeado e o Hackerman de brinde ganhou o usuário do MySQL tendo acesso root. Gaste cinco minutos e crie um usuário específico para cada site, sem acesso ao banco dos outros.

Segundo e mais importante: Isole os ambientes. Servidor web não tem que ficar na mesma rede do resto da empresa, por mais prático que seja para subir arquivos copiando diretamente do Windows.

Principalmente, se você não tem certeza do que está fazendo, não faça. Contrate um bom profissional de Segurança da Informação, ainda mais se seu site envolver dados pessoais de seus usuários, e não for alguma bobagem tipo jogo de passarinho ou site de horóscopo. Grandes poderes trazem grandes responsabilidades, e quando seus usuários confiam em você e usam seu site para abrir seus segredos mais íntimos, é seu dever honrar essa confiança.

Leia mais sobre: , , , .

relacionados

Apple embolsa 36% da receita anual em ads do Google no Safari

Apple: acordo com Google Search dispensa buscador próprio

Google: IA "jornalista" incomoda veículos de mídia

Comentários

Destaques

Turistas, o pesadelo do retro game nas lojas japonesas
Uma boa noite de sono e uma "faxina" no cérebro
O preço dos jogos e a gorjeta para os desenvolvedores
miHoYo, a startup de games mais valiosa do mundo
ASML: EUA pressiona pelo fim de manutenção à China
Meio Bit © 2024 – Todos os direitos reservados.
Design e código