O que você precisa saber e fazer sobre o vazamento do Yahoo
O anúncio do Yahoo sobre hackers terem roubados dados de pelo menos 500 milhões de contas é algo que choca tanto pela escala – é o maior vazamento de dados da história – e as potenciais implicações de segurança para os usuários.
Isso é porque o Yahoo, ao contrário do MySpace, LinkedIn e outros serviços online que sofreram grandes vazamentos recentes, é um provedor de e-mail. E contas de e-mail são partes centrais das vidas dos usuários. Não apenas os endereços de e-mail são usados para comunicações privadas, mas também servem como pontos de recuperação de credenciais de login para contas em outras páginas.
O comprometimento de um e-mail é um dos piores tipos de vazamento de dados que uma pessoa pode sofrer on-line. Por isso, veja abaixo o que você deve saber:
Cinquenta tons de criptografia
O Yahoo disse que a “grande maioria” das senhas roubadas estavam criptofadas com a ferramenta “bcrypt”. Hasing é uma operação criptográfica de uma via que transforma dados em um conjunto de caracteres aleatórios que funcionam como sua representação única.
Os hashes não devem ser reversíveis, por isso são uma boa maneira de armazenar senhas.
Mas esse é o problema: as palavras usadas pelo Yahoo sugerem que a maioria, mas não todas as senhas, foram criptografadas com a “bcrypt”. Não sabemos quantas senhas foram criptografadas com outro algoritmo, nem qual seria esse algoritmo. O fato disso não ter sido especificado no anúncio nem na página FAQ do Yahoo sugere que é um algoritmo mais fraco do que o “bcrypt” e que a companhia não quis dar essa informação para os criminosos.
Resumo: não há como dizer se a sua conta está entre aquelas cujas senhas foram criptografadas com a “bcrypt” ou não. Por isso, a opção mais segura agora é considerar que seu e-mail foi comprometido e fazer o maior controle de danos possível.
Não mantenha e-mails apenas porque você pode
Uma vez que os hackers invadem uma conta de e-mail, eles podem descobrir facilmente quais outras contas on-line estão conectadas àquele endereço ao buscar por mensagens de boas-vindas. Essas são as mensagens de boas-vindas que a maioria dos sites envia quando os usuários abrem uma nova conta, e que quase nunca são apagadas.
Isso acontece, em grande parte, porque a maioria dos provedores de e-mail atualmente oferece espaço de armazenamento suficiente para que os usuários não precisam se preocupar em ficar apagando mensagens.
Além de expor ligações entre um endereço de e-mail e contas em vários sites, essas mensagens de boas-vindas também podem revelar os nomes de contas específicos escolhidos pelo usuário, caso seja diferente do endereço de e-mail.
Se você está entre as pessoas que não apagam os e-mails de boas-vindas e outras notificações automáticas enviadas pelos sites, como resets de senhas, então você pode querer considerar fazer isso e até mesmo voltar e limpar a sua caixa de entrada de tais comunicações.
Claro, podem existir outras maneiras para os hackers descobrirem informações como essas, mas por que facilitar o trabalho deles?
Tome cuidado quando pedirem seus dados pessoais
Entre as informações de conta que os hackers roubaram do Yahoo estão nomes reais, telefones, datas de nascimento e, em alguns casos, perguntas e respostas de segurança. Alguns desses detalhes são sensíveis e também são utilizados por bancos e até órgãos do governo.
Existem pouquíssimos casos em que um site deve ter a sua data de nascimento verdadeira. Por isso, seja cauteloso ao passar essa informação.
Além disso, não forneça respostas reais para as perguntas de segurança, caso seja possível. Invente algo que possa lembrar e use isso como resposta. Na verdade, o Yahoo nem recomenda mais que as pessoas usem perguntas de segurança. Por isso, você pode acessar suas configurações e apagar essas perguntas.
Verifique as regras de encaminhamento do seu e-mail sempre
Encaminhamento de e-mails é um daqueles recursos “configurar e esquecer”. A opção fica enterrada em alguma configuração da conta que você nunca olha e caso esteja habilitada, existe pouco ou nenhuma indicação de que ela está ativa.
Os hackers sabem disso. Eles só precisam ter acesso ao seu e-mail uma vez, configurar uma regra para receber cópias dos seus e-mails e nunca mais olhar para trás.
Autenticação de dois fatores
Habilite a autenticação de dois fatores – às vezes chamada de verificação em dois passos – para qualquer conta que tiver suporte para o recurso. Isso fará com que o serviço on-line peça por um código de uso único que será enviado via SMS ou gerado por um app móvel, além da sua senha padrão, quando você tentar acessar a sua conta a partir de um novo aparelho.
É um recurso de segurança importante que poderia manter sua conta segura mesmo que os hackers roubem a sua senha. E o Yahoo oferece isso, por isso é preciso aproveitar.
Não reutilize senhas
Existem tantas soluções de gerenciamento de senhas atualmente que funcionam em diferentes plataformas. Realmente não há desculpas para não ter senhas únicas e difíceis para cada conta on-line que você possui. Caso você queira senhas memoráveis para algumas contas críticas use as chamadas “passphrases”: frases formadas por palavras, números e até pontuações.
Phishing a caminho
Grandes vazamentos de dados costumam ser seguidos por tentativas de phishing via e-mail, já que os cibercriminosos tentam tirar vantagem do interesse público por incidentes do tipo.
Esses e-mails de phishing podem se disfarçar de notificações de segurança, podem trazer instruções para baixar apps maliciosos que são “vendidos” como ferramentas de segurança, podem direcionar os usuários para sites que pedem dados adicionais para supostamente “verificar” suas contas e por aí vai.
Fique de olho em e-mails desse tipo e certifique-se de apenas seguir qualquer instrução enviada por uma fonte confiável de verdade.
Fonte: PC World|USA | IDGNOW