Se um vazamento de senhas já preocupa os usuários, imagine uma dupla invasão nos dois dos principais gerenciadores de senhas, o LastPass e o Authy.
Há duas semanas, cibercriminosos conseguiram comprometer uma conta dos desenvolvedores e obtiveram acesso à parte do código-fonte e outros dados técnicos proprietários do LastPass.
O vazamento do código do LastPass
Por ocasião da informação pública (25 de agosto), LastPass garantiu que não havia evidências do vazamento de dados de clientes ou dos cofres de senhas criptografadas. Não era necessário tomar nenhuma medida, nem mesmo alterar a senha mestra.
O vazamento de parte do código-fonte vai sem dúvida facilitar futuros ataques por engenharia reversa no aplicativo e em suas bibliotecas. No entanto, os projetos de código-aberto e mesmo partes do conjunto dos códigos proprietários já são do conhecimento público.
A invasão dos sistemas do Authy
Outro ataque no início do mês (7 de agosto) atingiu os sistemas internos da Twillio, desenvolvedora do Authy, um aplicativo que gera códigos de autenticação de 2 fatores e sincroniza as informações entre os seus dispositivos. Já há relatos da invasão de serviços que utilizavam essa tecnologia: usuários de mais de 130 empresas que terceirizam serviços da Otka tiveram seus códigos de autenticação enviados a seus dispositivos sem terem sido solicitados.
Mil e novecentos usuários do Signal também foram afetados, pois a Twilio fornece os serviços de verificação dos números de telefone utilizados pelo mensageiro. Histórico de mensagens, listas de contatos, informações de perfil, informações de bloqueio e outros dados pessoais não foram afetados, pois estão protegidos pelo PIN do Signal.
Fonte: página oficial do Signal no Twitter
A MailChimp também informou que seus funcionários sofreram um ataque de engenharia social e os cibercriminosos conseguiram comprometer a conta de um funcionário e, a partir dela, atingir 214 contas do Mailchimp de empresas do setor de criptomoedas e finanças.
Outros golpes envolveram o envio de códigos válidos por 5 minutos através de spam em mensagens SMS, o redirecionamento das vítimas a sites falsos e telefonemas de golpes de suporte técnico, atingindo também a familiares dos funcionários. A Otka informou que o tráfego dos cibercriminosos envolve servidores da DigitalOcean, Vultr e Linode e domínios que permitem pagamentos em Bitcoin como o Namecheap e o Porkbun.
Você coloca todos os ovos na mesma cesta?
Segurança é sempre uma questão de balanço entre conveniência e eficiência. Se for algo muito difícil de se adaptar, ou exigir muito tempo, as pessoas simplesmente se afastam e não tomam nenhuma medida de proteção. Se for algo tão fácil e rápido, mas que realmente não melhora a segurança, a “falsa sensação de segurança” pode ser muito mais perigosa.
Falsa sensação de segurança é usar a mesma senha em vários sites e serviços em vez de colocar todos os ovos na mesma cesta de um gerenciador de senha. Se os cibercriminosos roubam uma senha, eles podem comprometer várias contas que utilizam a mesma senha.
O que eu preciso procurar ao escolher um gerenciador de senhas?
Os gerenciadores de senhas baseados na nuvem, como o LastPass, armazenam as senhas criptografadas nos servidores e nunca armazenam nenhuma informação sobre a senha-mestra. Mas cresce o número de especialistas que sugerem aos usuários que procurem gerenciadores que preencham dois requisitos:
- Código-fonte aberto, trazendo mais transparência e a possibilidade de auditoria por toda a comunidade;
- Offline, isto é, não armazenar nenhum dado em nenhum servidor na nuvem;
- Garantir a circulação criptografada de dados entre o gerenciador e o navegador (ou outro aplicativo), para evitar ataques man-in-the-middle;
Nesse caso, uma das opções disponíveis seria o KeePass ou o KeePassXC, ainda que as extensões que gerenciam o item c) não pertençam aos desenvolvedores desses aplicativos. Se você teme por sua segurança, saiba que também a área de transferência (copiar e colar) é passível de ataques por malwares que podem roubar as suas credenciais quando copiadas do gerenciador para o navegador, por exemplo.
Esses aplicativos vêm com a função de geração de senhas longas e, de certa forma, aleatórias, para que você não repita uma senha em mais de um serviço ou site, evitando que depois de um vazamento, várias de suas contas estejam comprometidas. Como sempre, o uso de autenticação de dois fatores é um fator muito importante para afastar os hackers de suas contas online.
Além disso, esses aplicativos podem gerenciar os seus códigos de autenticação de 2 fatores, mas, neste caso, pense duas vezes se não é melhor usar dois arquivos com duas senhas mestras diferentes para realmente evitar colocar todos os ovos na mesma cesta: suas senhas e seus códigos de autenticação de 2 fatores.
Para sincronizar as senhas e o gerador de códigos de autenticação entre vários dos seus dispositivos, você pode usar um serviço de armazenamento na nuvem da sua confiança, ou usar um aplicativo de sincronização local com criptografia de ponta a ponta, como o Syncthing. Além de ser de código-aberto, seus dados não serão armazenados na nuvem e todo o tráfego entre dispositivos é criptografado.
Por que os gerenciadores de senhas não são suficientes para evitar golpes?
Para evitar os golpes de phishing que levam você a confiar seus dados a sites falsos, todas as versões do Avast, inclusive o Avast Free Antivírus, trazem tecnologia premiada de inteligência artificial para detectar esses sites e impedir o roubo das suas senhas. Lembre-se que o seu gerenciador só consegue comparar se o endereço URL é idêntico ao que você configurou ao salvar a senha.
Além disso, um antivírus robusto consegue bloquear malwares que roubam senhas através de golpes cross-site scripting e man-in-the-middle. Continuam válidas as recomendações do uso de chaves físicas de autenticação (pendrives) compatíveis com a tecnologia FIDO2/WebAuthn ou mecanismos de autenticação biométrica, além de habilitar filtros antispam.
Photo by FLY:D on Unsplash