Uma violação de dados acontece quando informação que deveria estar protegida fica acessível a quem não tinha autorização para a ver. Pode tratar-se de nomes e endereços de email, palavras-passe, números de cartão, dados de saúde ou conversas privadas. O ponto comum é que algo que estava guardado em segurança deixou de estar, e passou para mãos erradas. Para o utilizador comum, o aspeto mais incómodo das violações de dados é que, na maior parte dos casos, elas não dependem de nada que ele tenha feito mal. Acontecem nos servidores das empresas a quem confiou a sua informação, e só depois é que o atingem.
Este artigo explica como é que estas falhas ocorrem, que tipo de dados costuma ficar exposto, que impacto têm na vida de quem é afetado e, sobretudo, o que se pode fazer para reduzir os danos quando, mais cedo ou mais tarde, uma das nossas contas acaba apanhada numa.
Como é que as violações acontecem
Não há uma única forma de invadir um sistema. As violações resultam de uma combinação de falhas técnicas e humanas, e quase sempre de mais do que uma ao mesmo tempo.
Uma das vias mais frequentes é o roubo de credenciais. Um funcionário ou um utilizador é enganado por um email de phishing, escreve a sua palavra-passe num site falso, e o atacante usa essas credenciais para entrar como se fosse ele. A partir daí, move-se dentro do sistema com permissões legítimas, o que torna o ataque difícil de detetar.
Outra via comum é a exploração de software desatualizado. Os programas têm falhas, e quando uma falha é descoberta os fabricantes publicam correções. As empresas que demoram a aplicar essas correções deixam uma porta aberta que os atacantes conhecem e procuram ativamente. Muitas das maiores violações de que há memória entraram por uma falha já conhecida e já corrigida, mas que a vítima ainda não tinha instalado.
Há ainda os erros de configuração. É surpreendentemente comum encontrar bases de dados deixadas acessíveis na Internet sem qualquer palavra-passe, por simples descuido de quem as configurou. Nesses casos não há sequer ataque no sentido clássico: a informação estava ao alcance de qualquer um que soubesse onde procurar.
A injeção de código é outra técnica clássica. Quando um site não trata corretamente aquilo que os utilizadores escrevem nos seus formulários, um atacante pode introduzir instruções que o sistema executa por engano, levando-o a entregar dados que deveria proteger. E, por fim, nem todas as ameaças vêm de fora: por vezes é alguém de dentro, um funcionário com acesso legítimo, que copia e leva consigo informação que não devia.
Que dados ficam expostos
Nem todas as violações são iguais, e a gravidade depende muito do tipo de informação envolvida.
No nível mais ligeiro estão os endereços de email e os nomes. Parece pouco, mas é exatamente o material com que se constroem campanhas de phishing dirigidas, porque permite a um atacante escrever-lhe uma mensagem que parece genuína por já conhecer alguns dos seus dados.
Mais grave é a exposição de palavras-passe. Se o site as guardava de forma protegida, com as técnicas que descrevemos mais à frente, o estrago é limitado. Se as guardava em texto simples, ou mal protegidas, o atacante fica com a chave direta da sua conta, e com a chave de todas as outras contas onde reutilizou essa mesma palavra-passe.
No topo da gravidade estão os dados financeiros e os dados sensíveis. Números de cartão, dados bancários, informação de saúde, documentos de identificação. Este tipo de informação tem valor direto no mercado negro e pode ser usado para fraude, para abertura de crédito em nome da vítima ou para chantagem. É também a informação que, uma vez exposta, é mais difícil ou impossível de mudar: pode trocar-se uma palavra-passe num minuto, mas não se troca a data de nascimento nem o historial clínico.
O impacto na vida de quem é afetado
O efeito de uma violação raramente fica no momento em que ela acontece. Os dados roubados são vendidos, trocados e reutilizados durante anos, e o impacto vai-se manifestando em vagas.
O risco mais imediato é o chamado preenchimento de credenciais. Os atacantes pegam nas combinações de email e palavra-passe roubadas de um site e experimentam-nas, de forma automática, em centenas de outros serviços. Como tanta gente reutiliza a mesma palavra-passe, uma fuga num fórum esquecido pode acabar por abrir a conta de email, a rede social ou a loja online da mesma pessoa.
Segue-se o aumento do phishing dirigido. Com os seus dados na mão, as mensagens fraudulentas tornam-se muito mais convincentes, porque quem as escreve já sabe o seu nome, em que sites se registou e por vezes mais do que isso. Em casos graves, o roubo de identidade permite a um terceiro fazer-se passar por si para pedir crédito, abrir contas ou cometer fraude em seu nome, com consequências que podem demorar muito a resolver. E não se deve subestimar o peso pessoal de tudo isto: a sensação de exposição, o tempo gasto a trocar palavras-passe e a vigiar contas, e a incerteza de não saber ao certo o que foi parar onde.
Como se proteger na prática
Não se pode impedir que um site de terceiros seja invadido. Mas pode-se, e muito, controlar o tamanho do estrago que isso provoca. A ideia central é simples: fazer com que a perda de uma conta nunca contamine as outras.
A medida mais eficaz de todas é usar uma palavra-passe única para cada serviço. Se cada site tem a sua própria palavra-passe, uma fuga fica contida nesse site e não dá ao atacante acesso a mais nada. Como ninguém consegue memorizar dezenas de palavras-passe diferentes, a solução prática é um gestor de palavras-passe, que as gera e as guarda por nós. O tema está desenvolvido no artigo sobre segurança de palavras-passe.
A segunda camada é a autenticação de dois fatores, muitas vezes abreviada como 2FA. Com ela ativada, saber a palavra-passe deixa de ser suficiente para entrar: é preciso também um segundo código, gerado numa aplicação no seu telemóvel ou enviado por outra via. Mesmo que a sua palavra-passe apareça numa fuga, o atacante fica à porta sem esse segundo fator. Ative-a, no mínimo, no email e na conta bancária.
A terceira é a vigilância. Há serviços gratuitos e reputados que permitem verificar se o seu email aparece em fugas conhecidas, e muitos gestores de palavras-passe já integram esse aviso. Vale a pena verificar de vez em quando, porque saber que uma conta foi exposta é o primeiro passo para trocar a palavra-passe antes que alguém a use. Convém também acompanhar os extratos bancários e do cartão, e ativar os alertas de movimentos, para apanhar depressa qualquer transação que não reconheça.
Por fim, há a higiene geral. Vale a pena fechar contas antigas que já não usa, porque cada serviço onde ainda existe um registo seu é mais um sítio que pode ser invadido. E vale a pena partir do princípio de que, com o tempo, alguma das suas contas vai mesmo aparecer numa fuga. Quem aceita isso e organiza a sua segurança em camadas trata uma violação como um aborrecimento controlável, e não como uma catástrofe.
Perguntas frequentes
Como sei se os meus dados foram expostos numa violação?
Existem serviços gratuitos e de confiança que cruzam o seu endereço de email com bases de dados de fugas conhecidas e lhe dizem se ele aparece em alguma. Muitos gestores de palavras-passe e alguns navegadores já fazem essa verificação de forma automática e avisam-no quando uma das suas contas surge numa fuga.
Se um site foi invadido, a culpa de qualquer estrago é minha?
Não. A invasão em si é responsabilidade de quem geria o serviço. O que está ao seu alcance é limitar as consequências, e é aí que entram as palavras-passe únicas e a autenticação de dois fatores. Elas não impedem a fuga, mas impedem que ela se espalhe às suas outras contas.
Devo trocar todas as palavras-passe sempre que ouço falar de uma violação?
Não é preciso trocar tudo de cada vez. Troque de imediato a palavra-passe do serviço afetado e, se a reutilizou noutros sítios, troque-a também aí. O melhor remédio a longo prazo é nunca reutilizar palavras-passe, porque assim cada fuga obriga, no máximo, a uma única troca.
