RockYou expõe senhas de TODOS usuários

Segurança e privacidade são duas coisas seríssimas na web, mas para as quais pouca gente dá a devida importância. Prova disso são os inúmeros quizzes que aparecem na timeline do Twitter, muitos deles acessíveis mediante a entrega de usuário e senha do Twitter, sem falar em serviços que servem de “ponte” para outros, como o RockYou!. Na real, essa galera só toma consciência da seriedade dessas coisas depois que o estrago é feito.

Há cerca de dez dias, um ataque de SQL injection ao RockYou! deu acesso ao banco de dados do serviço a usuários mal intencionados. De uma hora para outra, os cadastros de mais de 32 milhões de pessoas passaram às mãos dos bad boys, e sabem o que é pior? As senhas estavam salvas em texto plano no BD, e os e-mails dos usuários estavam presentes.

O problema disso advém de uma prática totalmente errada, mas muito comum: uma mesma senha para todos serviços – incluindo e-mail. Mesmo que 10% da base de usuários do RockYou! faça isso, o que é uma estimativa bem baixa, são 3,2 milhões de contas de e-mail expostas.

Um hacker, que possui o banco de dados, já publicou amostras do conteúdo, com senhas omitidas, e ameaçou os responsáveis pelo RockYou. “Não minta para seus clientes, ou publicarei tudo”. Antes de xingá-lo, vale a pena saber as providências tomadas pelo RockYou!.

Em suma, foram as piores possíveis. Para começar, só avisaram os clientes sobre o furto do banco de dados dez dias depois do ocorrido. Via e-mail, e num tom bem… tranquilo, como se tivesse sido algo trivial, sem muita importância. Agora, com a notícia espalhada em tudo quanto é canto, colocaram um aviso alertando usuários da falha.

O fato de armazenarem senhas em texto plano só piora a situação. Qualquer sistema gratuito possui encriptação de senhas. É o mínimo de segurança que se espera de um serviço/sistema. Mas, não no RockYou. Para piorar, o site incentiva usuários a criarem senhas fracas, com entre 5 e 15 caracteres, e sem especiais (#¨@%$!).

O RockYou, que permite acessar outras redes sociais, na maioria delas requer a senha de acesso. Mais um ponto negativo.

Por fim, e o que é mais revoltante, temos a política de privacidade do serviço. Eles literalmente tiram o deles da reta, dizem que não garante a segurança dos dados, e que fornecer informações confidenciais é algo de total responsabilidade do cliente babaca que confia num site cretino com cara bonitinha. Leia um trecho (tradução livre):

“(…) Não podemos, porém, assegurar ou garantir a segurança de qualquer informação que você transmita para o RockYou!, e você pode fazê-lo por sua conta e risco. Ao receber suas transmissões de informações, o RockYou! faz esforços comercialmente razoáveis para garantir a segurança dos nossos sistemas. No entanto, por favor, atente para o fato de que não há garantias de que tais informações não serão acessadas, publicadas, alteradas ou destruídas por qualquer brecha em nossas defesas físicas, técnicas ou gerenciais.”

Sinceramente, dá para levar uma empresa dessas a sério?

Fonte: TechCrunch (2).