A Insegurança dos serviços de armazenamento nas nuvens

dropboxHackers não precisam nem saber a sua senha para acessar sua conta em vários serviços bastante populares de armazenamento na nuvem como Google Drive, One Drive, Box e Dropbox, segundo um estudo divulgado durante uma conferência Black Hat em Las Vegas, nos EUA.

Uma vulnerabilidade no design desses serviços de sincronização de arquivos pode ser explorada por um ataque parecido com o man-in-the-middle, um tipo de ataque no qual os dados são roubados no trânsito entre dois servidores ou usuários, e assim fazer com que um hacker tenha acesso a todos os seus arquivos enviados para a nuvem.

Esses serviços de armazenamento na nuvem criam um pequeno arquivo conhecido como “token de senha” que fica guardado no seu dispositivo. Ele existe por um motivo: lembrar a sua senha e evitar que você precise entrar com ela a cada vez que quiser acessar um arquivo. Os hackers podem roubar esse token – seja por um ataque de phishing ou algo mais direto – e transferi-lo para outra máquina, que passará a entender que sua conta está logada naquele computador. A partir daí, é só vasculhar todos os seus arquivos para saber o que pode ser útil, ou então transferir um malware que se instalará também no seu computador.

E sabe o que é ainda pior? Caso isso aconteça com você, não há muito o que fazer. De nada adiantará mudar a senha – o token é vinculado ao seu computador, e mesmo a troca do password não faria com que ele saísse da sua conta.

Amichai Schulman, CTO da Imperva, grupo responsável pelo estudo, disse considerar isso apenas uma falha de design, e que é uma perda em segurança que visa a melhorar a usabilidade dos serviços. “Esses serviços precisam entregar arquivos com simplicidade do seu computador para a nuvem, e para outros dispositivos ao redor do mundo. Eles não são perigosos ou inseguros”.

Normalmente, serviços de internet costumam enviar algum tipo de aviso quando alguma há alguma atividade incomum na sua conta – como quando alguém tenta acessá-la de um lugar no mundo que está longe demais de você. Mas, segundo Schulman, a maioria das pessoas ignora esses avisos e acaba não fazendo nada em relação a eles, deixando assim os arquivos vulneráveis a possíveis hackers. Ele concluiu que não é muito fácil corrigir isso.

Talvez realmente não seja algo simples de se resolver, mas pode servir como um lembrete de como é importante dar toda a atenção possível para avisos de segurança – se o seu serviço de armazenamento na nuvem disse que talvez tenha algo errado com a sua conta, pode ser que realmente tenha, e é melhor agir antes que seja tarde demais.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo e ZDNet

2 Responses to A Insegurança dos serviços de armazenamento nas nuvens

  1. PabloTec says:

    Meus caros,

    Nesse caso teria alguma coisa que poderia ser feito por parte do usuário para deixar os arquivos protegidos?

    • Victor Hugo says:

      PabloTec,
      Para informações muito importantes eu não recomendo o armazenamento em serviços online. Para os demais pode-se fazer uso de programas que criptografam arquivos, o que sem dúvida irá dificultar mais o trabalho dos crackers.

      Obrigado pela sua participação!

%d blogueiros gostam disto: