A notícia de um novo vazamento de credenciais reportado recentemente pelo portal CyberNews constitui uma importante oportunidade para as empresas reavaliarem suas políticas e práticas de segurança da informação. Trata-se de um dos maiores vazamentos informados, envolvendo credenciais de várias plataformas, como GitHub, Zoom, Apple, Google, Facebook e Telegram.

Alguns pesquisadores indicam que não se trata de um novo vazamento, mas sim de um agregado de vazamentos anteriores. Segundo hipótese trazida pelo portal Bleeping Computer, os resultados estão mais bem organizados do que em outros vazamentos, em um formato comumente usado em malwares do tipo infostealer. Esse tipo de malware visa justamente à captura de informações, o que inclui também credenciais de acesso. Mesmo que se trate de um agregado de vazamentos anteriores, isso não descaracteriza o fato de que usuários e empresas devem estar sempre atentos a práticas seguras de gestão de credenciais.

O risco é óbvio: caso as credenciais de algum serviço estejam no vazamento, seus usuários ficam vulneráveis a invasões de contas e acessos não autorizados a dados. Dependendo do tipo de conta, os impactos podem envolver desde situações com dados de comunicações privadas até dados empresariais internos e de clientes. Note-se que o vazamento permite que criminosos deem um primeiro passo para outros tipos de crime, o que significa dizer que eles habilitam outros crimes.

Os criminosos também podem usar esses dados para dar mais credibilidade a golpes. De posse de credenciais, é possível criar uma infinidade de golpes para convencer o usuário de que o contato criminoso seria de uma entidade real.

Não se descuide do fato de que, caso tenham vazado dados de uma empresa (e não por meio de invasões ao próprio usuário), isso significa que houve um incidente de dados pessoais. Quando isso ocorre, emergem uma série de deveres dos agentes de tratamento, sobretudo no âmbito das comunicações exigidas pela LGPD e a tomada de medidas de segurança para a proteção dos titulares.

Portanto, algumas medidas podem ser tomadas a fim de mitigar os riscos relacionados com este (e com outros) vazamentos:

  • Revisar as políticas de tempo de troca de senhas. Caso identifique contas que não possuem essa prática, implementá-la imediatamente.
    • Mesmo que algumas normas técnicas atuais dispensem essa recomendação (NIST Special Publication 800-63B), entendemos que ela pode ainda ser recomendada em certos contextos. Além do mais, a referida norma ainda recomenda a troca em situações de vazamentos.
  • Comunicar os usuários internamente, alertando-os para o fato e recomendando atenção redobrada para golpes. É importante trazer recomendações também para contas privadas dos funcionários, já que elas podem ser usadas como vetor também para invasões que podem atingir a empresa.
  • Manter uma comunicação contínua com clientes e parceiros de negócio acerca das melhores práticas sobre gestão de senhas. A organização deve comunicar claramente sobre como gerencia seus acessos, para conscientizar os usuários e esclarecê-los sobre situações de golpes. Ambientes integrados podem permitir que invasões ocorram por meio de comprometimento de infraestruturas de terceiros.
  • Revisar políticas e procedimentos de resposta a incidentes que envolvam a perda de acesso a serviços. A empresa deve mapear os sistemas que utiliza, garantindo que possui meios rápidos de recuperação em casos de ataques.
  • Habilitar, na medida da disponibilidade, mecanismos de autenticação por múltiplos fatores. Essa medida previne acessos mesmo que criminosos tenham acesso às credenciais. É recomendado utilizar um fator de autenticação que use um aplicativo de autenticação (como o Google Authenticator). Esses softwares garantem uma segurança maior do que duplos fatores recebidos por SMS ou e-mail (já que podem ser também violados).
    • Lembre-se que há ataques que conseguem violar também a autentincação por múltiplos fatores. Por isso, reforça-se a necessidade de treinamento de usuários para resistirem a eventuais tentativas de obtenção de códigos de autenticação e certificarem-se de que estão digitando os códigos nas plataformas corretas.
  • Sempre utilizar credenciais únicas para cada serviço utilizado. A reutilização de credenciais traz um risco grande ao usuário, pois caso um dos serviços permita o vazamento da credencial, o usuário fica vulnerável a invasões nos outros serviços em que ela foi utilizada.
  • Sempre utilizar serviços de cofres de senhas para armazenamento de credenciais. Existem vários serviços seguros que permitem o gerenciamento adequado. Isso faz com que o usuário consiga gerenciar facilmente credenciais únicas para cada um dos serviços que utiliza, armazenando-as em um ambiente seguro, ao contrário de anotar em arquivos de texto ou planilhas.
  • Por fim, existem serviços seguros que permitem investigar se um endereço de e-mail está presente em algum vazamento passado já identificado. O mais famoso é o Have I Been Pwned, que possui até mesmo uma API para integração com sistemas.