Por Pedro Barbosa (*)
Os chamados data breaches ocorrem com uma frequência cada vez maior, sendo notícia frequente nos meios de comunicação. Milhões de credenciais acabam expostas em domínios públicos, acessíveis a qualquer pessoa. Casos como Linkedin, Ashey Madison, Stratfor, Zomato encontram-se entre milhares de data breaches tornados públicos, existindo muitos outros milhares que passam despercebidos ao conhecimento público.
À partida, a exposição destas credenciais não traz, por si só, grande impacto. Perante o conhecimento da exposição estas empresas tomam de imediato as devidas medidas para fazer reset às passwords envolvidas. No entanto, existe um risco indireto - oculto - que pode tornar vulneráveis uma grande parte de outras organizações.
Se pensarmos que muitos utilizadores fazem uso do seu email profissional para efetuarem registos nos mais variados sites e serviços (vinhos, culinária, notícias, carros, jogos, redes sociais...) e combinarmos com a probabilidade muito elevada, já comprovada, de os utilizadores reutilizarem as suas passwords em múltiplos serviços, obtemos uma mistura verdadeiramente explosiva.
Indivíduos ou organizações de origem criminosa que pretendam aceder a sistemas de uma “organizacao.pt” obterão, com uma simples pesquisa por “organizacao.pt” (em repositórios como o pastebin ou similares de partilha de informação), inúmeras credenciais do tipo utilizador@organizacao.pt, resultantes de inúmeros data breaches, aliados à utilização de endereços de email corporativo em sistemas de terceiros.
Partindo destas listas de utilizador@organizacao.pt e password associada existirá uma probabilidade alta de uma das combinações (incluindo aquelas com ligeiras variantes usuais às passwords) fornecer o acesso – na maioria das vezes silencioso – a sistemas empresariais como webmail, portais e outras aplicações web.
O utilizador comprometido pode ver assim todos os seus e-mails e dados (informação profissional sensível, contactos críticos, informação pessoal, etc) neles contidos, expostos para o público.
Uma conta de email comprometida, para além do acesso que confere à informação confidencial de uma organização, permite ainda desencadear todo o tipo de fraudes – seja o alvo a própria organização ou outras com as quais mantém relação.
Estas situações acarretam graves impactos, quer de origem financeira, quer de reputação da própria organização.
Se até há uns anos o conceito de segurança das empresas e organizações se cingia a conferir a proteção máxima ao “seu castelo”, cada vez mais encontramos riscos na web, redes sociais, e deep & dark web com potencial de afetar gravemente os ativos e a continuidade de negócio das empresas.
Neste panorama é claramente vital que as organizações conheçam não só as ciber ameaças existentes nos domínios públicos, mas também o seu grau de exposição às mesmas e o potencial impacto que estas podem surtir no seu negócio, considerando na sua estratégia de segurança as melhores formas de mitigar estes riscos.
(*) diretor de Segurança da Claranet
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários