Suas informações confidenciais podem estar em risco: problema de segurança na sincronização e no compartilhamento de arquivos.


6/05/2014

Your Sensitive Information Could Be at Risk: File Sync and Share Security Issue

A Intralinks descobriu um problema de segurança particularmente preocupante, que afeta a maneira como muitas pessoas usam aplicativos de sincronização e compartilhamento de arquivos e que pode colocar as informações pessoais mais sigilosas e, potencialmente, as informações dos seus funcionários, em grave risco. Assim como muitas pessoas expõem publicamente detalhes sobre suas vidas, suas famílias e suas atividades nas redes sociais, elas também expõem suas informações particulares mais confidenciais em aplicativos não empresariais de sincronização e compartilhamento.

Mortgage application

Durante uma análise de rotina de dados do Google AdWords e do Google Analytics que mencionavam nomes da concorrência (Dropbox e Box), descobrimos, sem querer, os URLs totalmente clicáveis necessários para o acesso a esses documentos, que nos levaram a conteúdos dinâmicos em pastas, alguns com dados sigilosos. Através destes links, tivemos acesso a arquivos confidenciais, incluindo devoluções de imposto de renda, dados bancários, formulários de solicitação de hipoteca, projetos e planos comerciais, que são informações altamente sigilosas, algumas talvez suficientes para permitir o furto de identidade e outros crimes.

Experiência

A pesquisa de fraudes contra consumidores mais recente da U.S. Federal Trade Commission descobriu que mais de 10% dos norte-americanos adultos ainda são vítimas de fraude todos os anos. Outra pesquisa, conduzida pela empresa de segurança doméstica Friedland, descobriu que 78% dos ladrões utilizam atualizações de status disponíveis publicamente em redes sociais para obter informações sobre as suas vítimas. Uma terceira pesquisa realizada pela empresa de pesquisas Coleman Parks revelou que 67% dos consumidores entre os 18 e os 35 anos de idade e 59% daqueles entre 35 e 44 não estão preocupados com a privacidade on-line.

E pode piorar. Um artigo recente publicado no London Evening Standard afirma que atualmente 70% das fraudes são crimes cibernéticos. E, de acordo com uma pesquisa realizada pela Fiberlink, mais de 50% das pessoas disseram que tinham por hábito fazer upload de dados sigilosos para serviços na nuvem, como o Dropbox e o iCloud.

As evidências são claras: apesar de todos os casos de furto de identidade, roubos domésticos e fraudes, os consumidores ainda trocam facilmente a segurança por conveniência ou por alguma suposta vantagem. Para as empresas, essas notícias são extremamente ruins, porque esses mesmos consumidores também são funcionários e muitos levam suas práticas de consumidor em compartilhamento e de segurança para o trabalho na empresa.

Tax return

Por que isto é importante?

Nos deparamos com esse problema completamente por acidente durante a execução de uma campanha competitiva com o Google AdWords. Usuários de soluções de compartilhamento de arquivos criavam links de compartilhamento para os seus arquivos e depois os inseriam na caixa de “pesquisa”, e não na caixa de URL dos seus navegadores, de modo que a nossa campanha obteve esses dados. Isso não era tão incomum quanto se imagina, e nos deparamos com inúmeros arquivos ao longo de uma campanha razoavelmente breve com o Google AdWords. Acreditamos que esses nossos resultados poderiam ser replicados por outras pessoas com relativa facilidade. No processo de confirmação de como isso havia ocorrido, encontramos outros problemas com alguns aplicativos gratuitos de compartilhamento de arquivos que os tornam propensos à perda de dados. Dessa forma, recomendamos evitar algumas versões gratuitas de aplicativos populares de compartilhamento de arquivos para uso pessoal e, certamente, para uso comercial, caso os arquivos contenham informações sigilosas.

Vale a pena repetir que obtivemos acesso aos arquivos porque os usuários de aplicativos de compartilhamento de arquivos muitas vezes deixam de tomar precauções simples para proteger seus dados. Quando usados desta forma, todos os aplicativos de compartilhamento de arquivos são potencialmente vulneráveis. Ao usar aplicativos de compartilhamento de arquivos, muitas pessoas não utilizam os recursos básicos de segurança e tomam poucas precauções até mesmo com relação a dados financeiros altamente sensíveis. Além disso, muitas pessoas misturam dados pessoais com dados confidenciais da empresa, sem a adoção de qualquer medida de segurança. A conclusão é que cabe aos empregadores treinar, supervisionar e aplicar políticas apropriadas no local de trabalho para impedir que os dados da empresa cheguem a esses produtos, quando o compartilhamento de dados ocorre sem segurança.

Como proteger os seus dados do problema de sincronização e compartilhamento

Aplicativos de sincronização e compartilhamento de arquivos para o mercado de consumidores são utilizados por milhões de pessoas para a troca rápida de informações entre amigos, parentes e colegas de trabalho. A maioria dos usuários tem a falsa impressão de que os links que compartilham não podem ser descobertos por outra pessoa, mesmo quando deixam de definir controles de acesso apropriados. Além disso, a maioria não tem conhecimento de que alguns produtos gratuitos não fornecem segurança apropriada aos arquivos. Alguns sistemas gratuitos, incluindo o Dropbox, não permitem configurações de privacidade. Nós comunicamos este problema à Dropbox, quando descobrimos os arquivos, em novembro de 2013, para lhes dar tempo de responder e lidar com o problema. A empresa nos enviou uma curta resposta, dizendo: “Não acreditamos que isso seja uma vulnerabilidade.”

Aqui estão algumas etapas simples que você pode seguir para proteger melhor os seus dados:

  • Verifique o seu serviço de sincronização e compartilhamento para ver se ele aceita configurações de privacidade. No que se refere a aplicativos de sincronização e compartilhamento de arquivos, certifique-se de que o produto seja compatível com configurações de “privacidade”, que garantem que apenas pessoas especificamente convidadas poderão acessar o arquivo. O sistema também deve ser compatível com autenticação, com a necessidade de os usuários identificarem-se e terem senha de acesso.
  • Defina a sua conta para “privada”, usando configurações básicas de segurança. A maioria dos aplicativos de sincronização e compartilhamento tem a configuração de “pública”, por padrão, o que significa que qualquer um com um link para os seus arquivos poderá acessá-los. Isso pode ser conveniente se você precisar compartilhar um arquivo não sigiloso com muitas pessoas, mas recomendamos que você defina a sua conta como “privada” por padrão e depois convide pessoas específicas com as quais deseja compartilhar.
  • Se você já compartilhou arquivos sigilosos em uma pasta pública, exclua-os. Se já compartilhou itens que não são privados, não altere o status. Basta excluir os arquivos e tornar a carregá-los para uma nova pasta particular. Alterar o status da pasta de pública para privada não é um modo garantido de proteger arquivos que você já compartilhou.
  • Exclua arquivos antigos de que você não precisa mais. Adquira o hábito de excluir arquivos do seu aplicativo de sincronização e compatibilidade quando não precisar mais deles. Nós descobrimos muitos arquivos confidenciais que haviam sido carregados há muito tempo e que provavelmente haviam sido esquecidos.
  •  Nunca misture trabalho e lazer – mantenha arquivos de trabalho e arquivos pessoais em contas separadas. Nós encontramos muitos dados comerciais em pastas da conta pessoal. Isso é uma má ideia. Se você utilizar um sistema para consumidores domésticos, transfira os seus dados comerciais sigilosos para um aplicativo projetado para uso comercial. O seu empregador pode ter regras sobre o armazenamento de informações sigilosas em sistemas para consumidores domésticos, de modo que talvez você viole as leis ou o seu contrato de trabalho ao colocar informações confidenciais nesses sistemas. Se algo der errado e houver violação dos dados, as consequências podem ser graves, como danos à reputação, problemas regulatórios e jurídicos e prejuízo financeiro. Se os dados pertencem a um cliente ou parceiro, também é importante garantir a privacidade dos dados.

Atualização: a Dropbox publicou um blog anunciando “uma vulnerabilidade da Web que afetou links compartilhados para arquivos que continham hiperlinks”, declarando que havia tomado providências imediatas contra a vulnerabilidade de divulgação dos hiperlinks.



John Landy

John Landy

John Landy é diretor executivo de segurança na Intralinks. Nesse cargo durante os últimos 5 anos, ele usa a formação técnica para trabalhar com clientes e entender suas necessidades de segurança no compartilhamento e armazenamento de informações confidenciais. John trabalha em controles internos da Intralinks para segurança empresarial e risco corporativo e supervisiona uma função que compreende envolvimento do cliente, arquitetura de segurança e um centro de operações de segurança.

Fique por dentro

Inscreva-se em nossa newsletter para receber análises de mercado e inspirações de liderança imperdíveis diretamente no seu e-mail. Esta newsletter será enviada em inglês.