Invasão a Robinhood mostra a necessidade de uma segurança mais humana

(Tim Culpan, WP Bloomberg) – A empresa americana de serviços financeiros Robinhood Markets foi hackeada. Outra vez. Há um ano, a invasão atingiu quase 2.000 contas. O evento do início deste mês comprometeu as informações pessoais de 7 milhões de usuários.

Leia também

Hackers roubam mais de R$ 6 bi em criptomoedas no 3º trimestre

Como resultado, os hackers obtiveram uma lista de endereços de e-mail de 5 milhões de pessoas e em um cache separado, conseguiram os nomes completos de mais 2 milhões. A corretora on-line com sede na Califórnia parece não estar dando muita importância ao incidente, levando em consideração que dados-chave como da Previdência Social, cartões de débito ou números de contas bancárias não foram levados.

A linha comum em ambos os ataques, e na verdade em muitas violações de segurança cibernética, pode ser encontrada no comunicado da empresa. Também deve servir como um alerta para a indústria.

A parte que invadiu a Robinhood fez uma engenharia social a um funcionário de suporte ao cliente por telefone e obteve acesso a determinados sistemas.

Observe esse termo: engenharia social.

Usando a expressão para explicar o ataque, a Robinhood está dizendo que um determinado indivíduo foi manipulado para fazer algo que não deveria ter feito.

É bem sabido que, para violar ou proteger um sistema, é necessário saber como ele funciona. Uma das primeiras coisas que os alunos de segurança cibernética aprendem é como a memória funciona em um computador e, em seguida, treinam com o objetivo de travar esses processos para atacar o software em que são executados. Nesse caso, a empresa de serviços financeiros está dizendo que uma pessoa foi violada. Até certo ponto, eles não estão errados.

Mas, ao usar “engenharia social” para explicar o que aconteceu, a Robinhood cai na mesma armadilha da qual muitos outros também são culpados, que é desumanizar as pessoas que se sentam entre os sistemas de computador e os adversários que querem invadir.

Os que estão na linha de frente tornaram-se semelhantes aos transbordamentos de dados – usados para obter o controle de um computador – ou chaves de criptografia comprometidas  que podem desbloquear comunicações secretas.

Isso também minimiza o fato de que cada falha de engenharia é resultado de erro humano. Um código mal escrito, um algoritmo mal desenhado ou um servidor incorretamente configurado ocorrem quando pessoas cometem erros. As descuidadas políticas de segurança escritas por funcionários, assinadas por executivos e supervisionadas por conselhos de administração também são erros que podem ser evitados. As invasões acontecem sempre que pessoas são exploradas por outras pessoas.

Um dos mais épicos ataques de engenharia social foi delineado pelo autor Wired Mat Honan, que em 2012 detalhou de que maneira uma falha após outra em sistemas operados pelo Google, Apple e Amazon permitiram que alguém destruísse sua vida digital.

Em cada etapa, um representante humano de atendimento ao cliente era a janela através da qual protocolos inacreditavelmente ruins da empresa eram aproveitados para obter ainda mais informações sobre Honan, que então se tornou uma arma para o próximo estágio do ataque. O fato de a Robinhood ter sido atingida nove anos depois por meio de um método semelhante indica que o setor não está aprendendo com os próprios erros.

Até o momento, não está claro exatamente o que o hacker disse ao funcionário do suporte ao cliente em 3 de novembro para extrair informações suficientes para realizar o ataque a Robinhood. Mas o próprio fato de um telefonema entre duas pessoas poder resultar na liberação de 7 milhões de registros é suficiente para mostrar que os processos da empresa são incrivelmente falhos. E deveria estar evidente que o membro da equipe também é vítima dessa fraqueza sistêmica.

Há um caminho melhor.

Já temos um modelo de como o código do problema pode ser encontrado, identificado e relatado ao mundo. A lista do site governamental Common Vulnerabilities and Exposures, patrocinada pelo Departamento de Segurança Interna, é o lugar ideal para profissionais de segurança ficarem de olho nos mais recentes pontos fracos e como esses podem ser resolvidos. Este site é um recurso inestimável e uma das principais razões pelas quais os sistemas de computador em todo o mundo podem ser atualizados rapidamente para manter a segurança.

Depois do ataque a Honan, nove anos atrás, algumas dessas empresas se comprometeram a revisar suas práticas para redefinir senhas, mas muitas ainda praticam uma higiene digital deficiente (os usuários dos serviços on-line da Apple podem verificar seus e-mails em busca de um lembrete mensal de práticas não higiênicas). As falhas que levaram à invasão de Honan não foram listadas em um repositório central em tempo real para que outros acessassem livremente.

Para esse fim, sugiro que um banco de dados semelhante de engenharia social de exploração seja configurado para delinear as falhas que resultam da manipulação humana. Identificando e detalhando exatamente como os adversários violaram ou conseguiram romper a barreira entre as pessoas e as máquinas, a indústria em termos mais abrangentes pode começar a eliminar os maus hábitos e estabelecer melhores práticas.

Esta compilação não resolverá todos os problemas, mas mostrará aos colegas da área onde estão as vulnerabilidades e, esperançosamente, os levará a agir. Por décadas, os profissionais de segurança cibernética reconheceram e lamentaram o fato de que o ser humano é a principal razão pela qual seus sistemas se tornam vulneráveis a ataques.

Não obstante, a indústria e os governos continuam a construir sistemas que colocam a carga sobre a equipe da linha de frente, enquanto falham em rastrear e atualizar as maneiras como as pessoas se tornam vulneráveis. Isso precisa mudar e talvez esse ataque a Robinhood seja o catalisador para que isso aconteça. /TRADUÇÃO DE ANNA MARIA DALLE LUCHE

Nossos editores indicam estes conteúdos para você investir cada vez melhor

Custo de fraudes no Brasil é o mais elevado da América Latina