Servidores públicos e desprotegidos são a causa de muitos dos vazamentos e exposições de dados.
Agora, um estudo revelou exatamente a dimensão desta questão, pelo menos, no que toca os aplicativos para iOS e Android, com 18,3 mil soluções tornando vulneráveis os dados de seus usuários e possibilitando a ação de criminosos.
O levantamento é da empresa de segurança mobile Zimperium, que analisou mais de 1,3 milhão de aplicações para celulares e descobriu que 131 mil delas utilizam serviços públicos de cloud computing, de clientes como Amazon, Google e Microsoft. Pelos servidores, trafegam dados pessoais e sigilosos que, com uma infraestrutura desprotegida, podem resultar em uma exposição.
Na varredura feita pelos especialistas, foram encontrados desde dados pessoais e capazes de identificar individualmente os usuários até elementos mais críticos, como logins e senhas, além de registros relacionados a apps de atividade física, localização e saúde, com direito a resultados de exames e até fotos dos pacientes. Todos poderiam ser obtidos por criminosos a partir do mesmo tipo de monitoramento feito pelos pesquisadores, ficando vulneráveis após erros ou configurações mal feitas nos servidores que hospedam as soluções.
Não apenas usuários, mas os próprios serviços também podem correr perigo, já que a Zimperium também foi capaz de encontrar credenciais de acesso a sistemas internos, arquivos de configuração e até chaves de criptografia disponíveis livremente — entre as ocorrências desse tipo estava, inclusive, uma carteira digital pertencente a uma das 500 maiores empresas do mundo. Ataques de ransomware, roubo de segredos ou interrupções nas atividades dos apps podem ser consequências diretas desse tipo de vulnerabilidade.
A pesquisa também demonstrou uma aparente falta de atenção quanto a quesitos de segurança digital. Os pesquisadores afirmaram terem entrado em contato com os desenvolvedores dos aplicativos comprometidos, mas que a maior parte deles não respondeu ao contato nem resolveu o problema, mantendo os usuários em risco e suas informações disponíveis livremente.
A Zimperium aponta a responsabilidade dos desenvolvedores nessa questão, principalmente quando se leva em conta o fato de soluções como a da Amazon, bastante popular, ter mecanismos de segurança configurados por padrão. A empresa também disponibiliza monitores de segurança para seus clientes de servidores, com a pesquisa apontando uma desatenção dos responsáveis e, também, o desconhecimento dos usuários quanto à vulnerabilidade da estrutura dos apps que utilizam todos os dias.
Golpes, extorsões e fraudes são os principais intuitos dos criminosos a partir de dados desse tipo. Por isso, valem as recomendações de segurança, com os usuários não devendo repetir senhas em mais de um serviço e utilizar combinações complexas e aleatórias. Vale, ainda, ativar mecanismos de autenticação em duas etapas para que, mesmo de posse das credenciais, os bandidos não consigam acesso aos sistemas.
Em caso de exposição ou vazamento de dados, ou mesmo sem estes, é importante ficar atento a e-mails fraudulentos e possíveis tentativas de golpe que venham por telefonemas ou mensageiros instantâneos, solicitando cadastros ou informações pessoais. Muitos destes criminosos tentam se passar por empresas legítimas; na dúvida, o ideal é retornar o contato por meios oficiais, de forma a se certificar de que a comunicação é real.
A lista de aplicativos cujas informações estão vulneráveis, entretanto, não foi divulgada. Em muitos dos casos, as brechas estão abertas, o que significa que uma divulgação desse tipo poderia levar a um índice mais alto contra os usuários de tais soluções.
Fonte: canaltech
