Achei interessante e resolvi escrever sobre uma
empresa chamada Evernotes.
A Evernotes é uma empresa americana, com sede em Redwood
City, California que, tem como objetivo desenvolver apps que facilitam a
organização das pessoas em seu dia a dia, tornando suas tarefas mais
produtivas. São eles lembretes, reuniões, tarefas diárias etc..., em seu
celular, PC e notebooks.
Para ter acesso a esses aplicativos, é necessário
acessar o site da empresa (evernote.com), criar uma conta, a qual pode ser
gratuita ou paga (Premium).
Segundo matéria que saiu no Information Week, suspeita-se
que 50 milhões de usuários (isso mesmo..milhões!!!!), tiveram seus endereços de
e-mail, usuários e senhas criptografadas roubadas, devido a uma brecha de
segurança.
A equipe da empresa, descobriu uma atividade
suspeita em sua rede e a bloqueou. Por via das dúvidas e por motivos (óbvios)
de segurança, foi mandado um e-mail para os usuários do site , solicitando a alteração
de suas respectivas senhas de acesso.
A pergunta é: Será que além de pedirem para os
usuários mudarem suas senhas, foi feito mais alguma coisa para evitar esse tipo
de incidente? Foi aprendida a lição para isso não acontecer mais?
A resposta para ambas perguntas é: SIM.
A partir de hoje, vou postar, semanalmente, em 7
partes, as lições aprendidas com esse incidente na Evernotes:
1
– Detalhes do ataque:
Uma mensagem de segurança via boradcast enviada para a empresa através de múltiplos canais, mostrou claramente o que os invasores queriam, bem como, a maneira que os dados estavam protegidos.
Uma mensagem de segurança via boradcast enviada para a empresa através de múltiplos canais, mostrou claramente o que os invasores queriam, bem como, a maneira que os dados estavam protegidos.
A investigação mostrou , que os indivíduos responsáveis
pelos ataques, conseguiram acesso às informações dos usuários da Evernote, como
endereços de e-mails, usuários e senhas criptografadas, apesar dessas
informações estarem armazenadas e protegidas por criptografia do tipo “one-way”
A boa noticia para os usuários da empresa é que a
Evernote implementou um tipo de proteção nas senhas, conhecida como Salted e
hashed (em criptografia, salt são dados randômicos adicionados a senhas,
acrescentando uma outra camada de segurança, que funciona com um hash adicional
em senhas ou frases), ao contrário do Linkedin que somente criptografou as
senhas de seus usuários, ficando suscetível a novos ataques de força bruta.
Apesar da criptografia em hás não ser infalível,
pelo menos, em casos de novos ataques, fornece mais tempo para a equipe de monitoramento
da empresa e seus usuários detectar e responder a novos ataques.
Grande abraço a todos e até a próxima semana!
Nenhum comentário:
Postar um comentário