Considerando que um smartphone comprado há apenas dois anos está praticamente obsoleto hoje, você pode imaginar o uso de protocolos de computador que têm de 30 a 40 anos, nas práticas de negócios atuais?  No entanto, esse é o caso de muitas organizações que ainda utilizam o Protocolo FTP para enviar arquivos de um servidor para outro.

Uma consulta básica na Wikipédia informa que a especificação original do FTP foi desenvolvida em 1971. Mesmo a especificação atual e mais recente foi em 1985. Ora! Isso é praticamente o período jurássico em termos do tempo de existência dos computadores!

Como você pode esperar de um protocolo com décadas de idade, ele não foi projetado com base na segurança. Em 1971, e até em 1985, estávamos mais preocupados com a facilidade de uso e envio de arquivos do ponto A ao ponto B, do que com alguém desejando interceptar ou roubar esses arquivos. Consequentemente, o FTP é vulnerável a ameaças como a captura de pacotes, ataque de força bruta, ataque de spoofing, entre outros. Além disso, o FTP não criptografa o tráfego e todas as transmissões estão em texto não criptografado.

Alguns desenvolvimentos posteriores têm aprimorado o antigo Protocolo FTP. Com o tempo, os desenvolvedores passaram a usar várias técnicas para tentar melhorar a segurança na transferência de um arquivo de um servidor para outro. O FTPS, por exemplo, é uma extensão do FTP padrão usada para que os clientes possam solicitar a criptografia das sessões de FTP.

O advento do e-mail, dos equipamentos de transferência segura de arquivos e do compartilhamento colaborativo de arquivos têm substituído consideravelmente o uso do FTP hoje em dia. No entanto, o FTP ainda está em uso e colocando informações confidenciais ou sigilosas em risco.

O Relatório de investigações de vazamento de dados de 2015 da Verizon lista os perigos dos servidores FTP como uma fonte de vazamentos de dados. O relatório cita uma pesquisa da One World Labs (OWL), uma empresa de consultoria e avaliação de segurança empresarial. A OWL mapeia o volume digital e online de seus clientes e está encontrando vários sites de FTP de empresa e individuais que não exigem autenticação. Ou seja, qualquer pessoa pode acessar as informações enviadas para os servidores. Para piorar a situação, a OWL descobriu grandes volumes de propriedade intelectual e informações de identificação pessoal (PII) nesses servidores abertos.

Aqui estão apenas alguns exemplos do que a OWL encontrou nos servidores FTP desprotegidos de vários clientes:

• Documentos empresariais classificados como "Privado" ou "Confidencial"
• Registros médicos pessoais
• Documentos fiscais pessoais
• Arquivos de software proprietário
• Nomes de usuário e senhas de diversas contas e hardware corporativo

Obviamente, estas são informações que podem colocar uma empresa em risco de várias maneiras.

A exposição de informações por meio de FTP inseguro é, muitas vezes, um desses vazamentos acidentais. Como erros deste tipo expõem classes de dados protegidos, as organizações que possuem os referidos dados podem ter de enviar notificações de vazamento para todas as pessoas potencialmente afetadas;  além de fornecer proteção contra roubo de identidade para todas as pessoas cujos dados foram inadvertidamente publicados.

Hoje, o FTP é um método ultrapassado e inerentemente inseguro para a transmissão de arquivos. Há melhores maneiras de garantir que as informações sejam reveladas apenas aos destinatários autorizados. O custo de um vazamento — mesmo acidental — é muito alto para se correr riscos com métodos inseguros.