Vazamento de dados de sites de e-commerce mostra os péssimos hábitos com senhas
No dia 9 de Julho foi divulgado no Pastebin, site que permite publicar informações de forma anônima, uma lista com centenas de senhas e nomes de usuários de sites de e-commerce, assim como de um intermediador financeiro brasileiro.
O número de senhas e nomes de usuários chegou a mais de 700, incluindo ainda alguns números de CPF. Entre os sites atingidos estão marcas como Magazine Luiza, Ponto Frio, Extra e PagSeguro.
Segundo Flávio Shiga, sócio e gerente de serviços da iBLISS Digital Security, que teve acesso a lotes de dados vazados, as informações divulgadas, apesar de não terem sido obtidas por meio de acesso não autorizado, ou seja, uma “invasão” aos portais das empresas, indicam os péssimos hábitos dos usuários em relação a senhas, especialmente dentro das empresas, já que os dados mostram que alguns usuários se cadastram em sites de compras usando o e-mail corporativo.
“Outra constatação preocupante é o fato de algumas dessas senhas dar acesso aos e-mails expostos, mostrando que muitos usuários usam a mesma senha para se cadastrar em vários serviços”, explica Shiga. “Se essas senhas forem as mesmas usadas também no e-mail corporativo cadastrado, algumas empresas podem estar em risco após esse vazamento”.
Até o momento, o estado mais impactado pela exposição destas informações é o de São Paulo, que teve mais de 165 registros divulgados. Em seguida aparecem os estados do Rio de Janeiro, Minas Gerais, Mato Grosso do Sul, Paraná, Rio Grande do Sul, Santa Catarina e Bahia, todos e cada um com menos de 60 registros divulgados até o momento.
De acordo com o gerente de serviços da iBLISS, os dados divulgados mostram ainda que uma grande quantidade de usuários cadastra senhas fracas e de fácil dedução. Entre as mais utilizadas está a já conhecida combinação “123456”, e outras sequências como “102030” e “10101”. Ele também destaca termos como “deus123”, “abcdef”, “aninha”, “anjinho” e “sorvete”.
“O fato de vermos uma grande quantidade de indivíduos colocando esses maus hábitos em prática em sua vida pessoal não significa que eles também não ajam dessa maneira no ambiente profissional, mesmo que ele não tenha cadastrado seu e-mail corporativo. Portanto, é importante que as empresas brasileiras invistam em conscientização em segurança”, afirma o executivo da iBLISS.
O serviço de capacitação e conscientização em segurança da informação iBLISS CSA ajuda a incorporar a cultura de segurança no seu negócio, gerando engajamento nas atividades de segurança e reduzindo os riscos de que os hábitos em relação aos recursos tecnológicos prejudiquem seu negócio.
“O investimento na conscientização do usuário nas empresas ajuda a destacar a importância de boas práticas como o uso do e-mail corporativo exclusivamente na esfera profissional, não para cadastros em outros sites, bem como a importância de sempre cadastrar senhas seguras e únicas em todos os serviços”, explica Shiga.
Já pensou em analisar quais senhas são usadas na sua rede interna?
Além de conscientizar o usuário, as organizações podem obter mais informações sobre sua estratégia de segurança por meio do serviço de auditoria de senhas. Por meio das senhas obtidas na rede interna (incluindo AD, banco de dados e outras plataformas), é possível realizar uma análise técnica detalhada e obter estatísticas de senhas.
O objetivo principal é mostrar, de forma prática, o nível de conscientização dos usuários em relação às senhas, bem como identificar pontos de atenção devido a senhas fracas. Ao final do serviço, a empresa recebe uma série de estatísticas, como as 10 senhas mais utilizadas e as senhas fracas (que têm relação com o nome da empresa, apenas de números, falhas na política de senhas, entre outros).
Você sempre pode avaliar a efetividade dos seus controles de segurança por meio do serviço de Hacker as a Service.