Pesquisa de site

O hacking de 000webhost - por que grátis não deve ser sinônimo de inseguro

Os modelos de receita baseados em publicidade podem ser uma faceta padrão dos negócios de internet de hoje, mas as empresas que vendem serviços gratuitos/freemium ainda estão no gancho para fornecer forte segurança da informação para suas bases de usuários. Na verdade, eles têm uma responsabilidade ainda maior de proteger os dados do usuário do que os serviços pagos. Então, como eventos como a violação maciça de dados de ontem envolvendo hospedagem gratuita na web fornecendo 000webhost acontecem? Em uma palavra, negligência. Negligência grosseira, para ser mais preciso.

Conversamos com o especialista em segurança de TI Troy Hunt sobre seu mecanismo de pesquisa de violação de dados Have I Been Pwned? e a miríade de perigos que cercam os dados online. Curiosamente, Troy foi contatado há alguns dias e teve acesso a um enorme banco de dados hackeado do provedor de hospedagem gratuita 000webhost - 13 milhões de registros de usuários que consistem em nomes, e-mails e senhas de texto simples. Forbes, ZDnet e The Register desde então pegaram a notícia.

O que torna esse compromisso específico único em relação às ocorrências aparentemente diárias de hackers é a pura falta de prudência por parte do 000webhost. De fato, descrever as falhas de segurança do 000webhost como tal é um eufemismo grosseiro:

1. Os formulários de login e as áreas de administração do site não têm criptografia SSL.

2. Os lembretes de senha são enviados por e-mail em texto simples.

3. As exceções de validação de formulário passam valores de texto simples na string de consulta, que obviamente acabam em logs do servidor web, históricos do navegador e outras áreas visíveis publicamente.

A questão mais importante e difícil não é por que, mas como - ou seja, como as empresas podem não apenas sobreviver, mas prosperar em um cenário de ameaças digitais?

Estes são apenas alguns exemplos das deficiências de segurança do 000webhost, que invariavelmente levaram à violação de 13 milhões de registros de clientes. Mais informações sobre o "hack" estão disponíveis no blog de Troy, embora rotulá-lo como tal seja um desserviço aos cibercriminosos experientes. Por todas as medidas, essa violação de dados foi brincadeira de criança para o(s) invasor(es) em questão.

As empresas da Web que conquistam muitos seguidores por meio de ofertas de serviços complementares - baseadas em anúncios ou não - têm uma necessidade igual ou até mais forte de medidas de segurança robustas devido ao volume previsto de registros de usuários para serviços gratuitos. A falta de segurança (e os dados comprometidos resultantes) é simplesmente um mau negócio, mesmo que nenhum dado de cartão de crédito seja armazenado/roubado.

Artigos relacionados