O que é “credential stuffing” e por que minha câmera de segurança inteligente é vulnerável?

Imagine se a própria ferramenta de segurança que você colocou para impedir que intrusos entrem em sua casa, fosse usada de repente como porta de entrada. Esse pesadelo é uma realidade para um número cada vez maior de vítimas.

Como relatado pelo The Washington Post, a mãe de uma criança na Califórnia ficou horrorizada com este tipo de descoberta. Depois de ouvir sua filha falar sem parar sobre “um monstro” em seu quarto, a mulher descobriu algo mais perturbador. Cibercriminosos conseguiram invadir a conta da câmera de segurança da família e começaram a usar o recurso de intercomunicação para transmitir áudios pornográficos no quarto de sua filha de 2 anos.

Infelizmente, este caso não foi o único. Os cibercriminosos que desejam explorar recursos de segurança fracos vão tentar abrir as possíveis portas dos produtos de consumo, como câmeras de segurança, sempre que for possível. Além disso, com uma técnica chamada “credential stuffing”, a invasão se tornou fácil, mesmo para um cibercriminoso novato.

Por que câmeras de segurança são tão fáceis de invadir?

A segurança instalada nas câmeras de segurança da marca Nest e outros dispositivos da Internet das Coisas (IoT) podem criar o que os usuários do Vale do Silício chamam de “atrito”: obstáculos que dificultam uma experiência tranquila e bem-sucedida com o produto. Exemplos de atrito incluem: muitas telas para passar, instruções de montagem muito complicadas, procedimentos de segurança muito inconvenientes e assim por diante. Quanto menos atrito um produto tiver, mais atraente ele se torna.

Como a tecnologia da IoT pode intimidar todos que não tenham um alto nível de conhecimento digital, os novos produtos precisam ser fáceis de configurar e usar. Para atrair mais clientes, alguns desenvolvedores da IoT optam por não adicionar recursos básicos de segurança, como solicitar uma alteração de senha padrão ou autenticação de dois fatores (2FA). Esse tipo de segurança fraca deixa sua rede doméstica vulnerável a ataques cibernéticos, incluindo uma técnica muito popular nos dias de hoje: o “credential stuffing”.

O que é “credential stuffing”?

“Credential stuffing” é uma das formas mais simples e prediletas de invasão usada pelos cibercriminosos. Usando essa técnica, o criminoso coleta suas credenciais vazadas (geralmente roubadas em um vazamento de dados) e as usa em várias outras contas, esperando conseguir acesso. Resumindo: coletar e reutilizar credenciais de login (nome de usuário e senha).

Por exemplo, digamos que você faz compras online na Netshoes e cibercriminosos invadem o banco de dados da empresa. Com suas credenciais roubadas, eles podem usar o “credential stuffing” para tentar acessar sites de bancos, sites de redes sociais, servidores de e-mail, etc. Se você for como a maioria dos usuários, você reutiliza credenciais. Os cibercriminosos contam com isso.

Avanços na tecnologia tornaram mais fácil do que nunca fazer uma invasão via “credential stuffing”. Como relata o The Washington Post:

Uma nova geração de programas para “credential stuffing” permite que pessoas com pouca ou nenhuma habilidade em computação verifiquem as credenciais de milhões de usuários em centenas de sites e serviços online, como Netflix e Spotify em poucos minutos.

Como posso ter certeza de que ninguém invadiu minha câmera de segurança?

Confira nossas 5 dicas para proteger sua câmera de segurança de cibercriminosos. Usar sempre uma senha exclusiva e complexa para fazer login em contas e dispositivos de IoT é fundamental.

Como posso me proteger do “credential stuffing”?

Você pode impossibilitar o “credential stuffing” se assumir o controle de suas credenciais. Não deixe que nenhum deles funcione como uma chave universal para suas outras contas online. Além disso, memorize estes três pontos:

• Ative a autenticação de dois fatores: sempre ative a 2FA. Com ela, mesmo que suas credenciais de login forem comprometidas, o cibercriminoso terá apenas metade da chave. O segundo fator, como inserir um código ou responder a uma pergunta de segurança, pode inicialmente parecer algo chato, mas essas pequenas etapas extras podem ser muito úteis quando se trata da sua proteção e a dos seus dados
   
• Fique bem informado sobre os vazamentos: use um site como o Avast Hack Check para verificar suas credenciais em um banco de dados de sites invadidos e credenciais de login roubadas. Basta digitar o endereço de e-mail que você usa e saber instantaneamente se ele foi comprometido em um vazamento de dados. Caso tenha sido, altere suas credenciais para todas as contas afetadas
  
  
• Crie senhas mais fortes: cada senha que você usa precisa não só ser complexa, mas também exclusiva. Evite reutilizar senhas para várias contas. Além disso, use nomes de usuários diferentes. Quanto mais variações você incluir em suas “chaves”, melhor protegidas estarão suas credenciais de login