terça-feira, 16 de abril de 2013

Lições da Evernotes – Parte 1




Achei interessante e resolvi escrever sobre uma empresa chamada Evernotes.
A Evernotes é uma empresa americana, com sede em Redwood City, California que, tem como objetivo desenvolver apps que facilitam a organização das pessoas em seu dia a dia, tornando suas tarefas mais produtivas. São eles lembretes, reuniões, tarefas diárias etc..., em seu celular, PC e notebooks.

Para ter acesso a esses aplicativos, é necessário acessar o site da empresa (evernote.com), criar uma conta, a qual pode ser gratuita ou paga (Premium).

Segundo matéria que saiu no Information Week, suspeita-se que 50 milhões de usuários (isso mesmo..milhões!!!!), tiveram seus endereços de e-mail, usuários e senhas criptografadas roubadas, devido a uma brecha de segurança.

A equipe da empresa, descobriu uma atividade suspeita em sua rede e a bloqueou. Por via das dúvidas e por motivos (óbvios) de segurança, foi mandado um e-mail para os usuários do site , solicitando a alteração de suas respectivas senhas de acesso.

A pergunta é: Será que além de pedirem para os usuários mudarem suas senhas, foi feito mais alguma coisa para evitar esse tipo de incidente? Foi aprendida a lição para isso não acontecer mais?
A resposta para ambas perguntas é: SIM.

A partir de hoje, vou postar, semanalmente, em 7 partes, as lições aprendidas com esse incidente na Evernotes:

1 –  Detalhes do ataque:
Uma mensagem de segurança via boradcast enviada para a empresa através de múltiplos canais, mostrou claramente o que os invasores queriam, bem como, a maneira que os dados estavam protegidos.

A investigação mostrou , que os indivíduos responsáveis pelos ataques, conseguiram acesso às informações dos usuários da Evernote, como endereços de e-mails, usuários e senhas criptografadas, apesar dessas informações estarem armazenadas e protegidas por criptografia do tipo “one-way”

A boa noticia para os usuários da empresa é que a Evernote implementou um tipo de proteção nas senhas, conhecida como Salted e hashed (em criptografia, salt são dados randômicos adicionados a senhas, acrescentando uma outra camada de segurança, que funciona com um hash adicional em senhas ou frases), ao contrário do Linkedin que somente criptografou as senhas de seus usuários, ficando suscetível a novos ataques de força bruta.

Apesar da criptografia em hás não ser infalível, pelo menos, em casos de novos ataques, fornece mais tempo para a equipe de monitoramento da empresa e seus usuários detectar e responder a novos ataques.

Grande abraço a todos e até a próxima semana!

Nenhum comentário:

Postar um comentário