No ano passado, as notícias sobre invasões da privacidade de celebridades se espalharam depois do Celebgate, nome dado pela imprensa ao ataque que, segundo o Celebuzz comprometeu até 600 contas de pessoas conhecidas no iCloud. O conteúdo violado incluía fotos pessoais das vítimas que, depois, foram parar no site de fofocas 4chan e logo se espalharam por toda a Internet.
Neste ano, o alvo de invasão com mais visibilidade foi o Ashley Madison, um site de relacionamento que se promove como especializado em relações extraconjugais. Sua lista de associados foi roubada e publicada on-line, causando alarde imediato da imprensa para tentar encontrar celebridades entre os clientes. Mas a invasão do Ashley Madison não envolveu apenas celebridades. As empresas sabem que seus funcionários inscritos no site podem sofrer invasões de “spear phishing” ou outras formas de chantagem virtual.
O resultado dessas invasões não é preocupação apenas para quem é famoso. Na era da Internet, qualquer um pode ficar conhecido, e de maneira indesejada, se imagens ou outros conteúdos estritamente privados forem violados e colocados on-line. Esses incidentes são lições importantes para todos sobre cibersegurança.
Muitos detalhes técnicos sobre o Celebgate ainda não foram divulgados publicamente. (Há uma boa razão para isso: esses detalhes podem servir de roteiro para outros hackers.) Vale a pena notar que as imagens e outros dados armazenados em iPhones são copiados automaticamente para o iCloud, o serviço de armazenamento em nuvem da Apple. O Android e outros sistemas operacionais móveis também salvam cópias em um serviço de nuvem por um bom motivo, para que os usuários possam acessá-los em vários os dispositivos. Mas isso representa uma possível vulnerabilidade, da qual todos os usuários de dispositivos móveis devem estar cientes.
A invasão pode ter envolvido a simples adivinhação das senhas das celebridades (a Apple, que tem uma boa reputação de segurança, fortaleceu a proteção do recurso “Esqueci minha senha”) ou a “engenharia social”, que induz alguém a relevar sua senha.
A invasão do Ashley Madison, em contrapartida, parece tecnicamente semelhante a outras invasões de sites de lojas. Apenas suas consequências foram diferentes, e elas se propagaram muito além do Ashley Madison. Em geral, as invasões de lojas têm como foco o roubo de informações de cartões de crédito, extremamente valiosas para os criminosos virtuais. Os hackers do Ashley Madison, por outro lado, tinham o objetivo claro de constranger os usuários, por isso publicaram os e-mails dos milhões de clientes do Ashley Madison on-line.
Embora a lista de membros contivesse muitos endereços de e-mail de celebridades, o Ashley Madison não verificou nem confirmou esses endereços, e poucos (se é que existiam) pareciam ser reais. Até agora, Josh Duggar (do reality show 19 Kids and Counting) é a celebridade mais conhecida a admitir estar envolvida no escândalo, mas certamente ele não é o único que sofreu as consequências. Entretanto, conforme informado pela Infoworld, mesmo sem confirmação das celebridades invadidas, a violação tornou-se um grande aborrecimento, não só para as pessoas cujos e-mails reais estão na lista, mas também para empresas e organizações cujos funcionários se cadastraram no site e que agora podem estar vulneráveis a “engenharia social” e chantagens digitais.
“Engenharia social” é o termo que os especialistas em cibersegurança usam para os ataques que tiram proveito do fator humano. Um exemplo muito comum é o “spear phishing”, que ocorre quando um criminoso virtual envia um e-mail (geralmente disfarçado como sendo de um amigo ou colega) que contém links para sites ou arquivos maliciosos. A vítima, desavisada, clica no link e abre espaço para que o malware infecte seu dispositivo, de onde poderá extrair dados particulares.
A preocupação das organizações é que os funcionários cujos e-mails estavam na lista do Ashley Madison podem estar vulneráveis a e-mails de phishing que pareçam ser de advogados ou investigadores particulares. Nesse cenário, os invasores não precisam nem ter o trabalho de interagir de maneira simpática e pessoal para fisgar suas vítimas. O medo da vítima de ser exposta e o desespero por proteção são suficientes para que ela clique no link, permitindo que os invasores entrem e procurem senhas ou outros dados que possam ser explorados.
Na era da mobilidade, qualquer dispositivo conectado à Internet está suscetível a invasões, por isso é essencial criar senhas fortes.
Tweet: Na era da mobilidade, qualquer dispositivo conectado à Internet está suscetível a invasões, por isso é essencial criar senhas fortes. Publique isso no Twitter!
Cuidado com a engenharia social. Sempre pense duas vezes antes de clicar em links inesperados ou incomuns nos e-mails. Os ricos e famosos não são os únicos alvos na nova era de invasões de celebridades.
Outras leituras e links úteis relacionados a ameaças à segurança de dispositivos móveis