Como roubei a identidade de outra pessoa

Há duas semanas atrás, publiquei um artigo falando sobre os perigos da exposição da nossa privacidade em decorrência do uso da internet. Recebi como contribuição de um grande amigo, a indicação de um artigo muito interessante, publicado no site da Scientific American, a respeito do mesmo assunto e dada a importância do tema e ao fato do artigo original estar escrito em inglês eu tomei a liberdade de traduzi-lo para que todos possam tirar proveito.

Cabe alerta-lo que meu inglês é apenas para “consumo próprio” e estarei sujeito a cometer algum escorregão, por isso, se você tem o domínio da língua, sugiro que leia o artigo original:

http://www.sciam.com/article.cfm?id=anatomy-of-a-social-hack


Tradução do artigo

Como professor, desenvolvedor de software e autor, tenho dedicado minha carreira à segurança de software. Eu decidi fazer um experimento para ver o quão vulnerável são as contas das pessoas à mineração de informações na web. Eu perguntei a alguns conhecidos, pessoas que eu conheço apenas casualmente, se com a permissão e supervisão delas, eu poderia “invadir” suas contas bancárias online. Após alguns desconfortáveis momentos de pausa, alguns concordaram.

O objetivo era simples: entrar nas contas bancárias online delas, usando informações sobre elas, seus passatempos, seus familiares e suas vidas obtidas livremente na internet. Para ser claro, não se trata de “hackear” ou explorar vulnerabilidades, mas tão somente minerar a internet por fragmentos de informações pessoais.

Este é o caso. Eu compartilho isso aqui porque representa uma das armadilhas muito comuns da internet e ilustra uma séria fragilidade que a maioria de nós possui online.

Preparação: Este é o caso de uma pessoa a qual chamaremos de “Kim”. Ela é amiga da minha esposa e de conversas anteriores, eu já sei o seu nome, de que estado ela veio, onde ela trabalhou e a sua idade aproximada. Mas isso é tudo que eu sabia. Ela me disse então qual banco ela utilizava e qual era seu nome de usuário (o que se mostrou bastante previsível: sua primeira inicial + sobrenome). Baseado nessas informações, minha tarefa era obter acesso à sua conta.

Passo 1: Reconhecimento: Usando seu nome e onde ela trabalhou, encontrei duas coisas numa rápida procura no Google: um blog e um curriculum antigo. Seu blog era uma mina de ouro: informações sobre avós, animais de estimação, cidade natal, etc. (embora tenha constatado que não precisaria de quase nada disso). A partir do seu curriculum, obtive o seu antigo email de colégio e a partir do seu blog, o endereço do gmail.

Passo 2: Recurso de Recuperação da Senha Bancária: Meu próximo passo era tentar o recurso de recuperação de senha do site do seu banco. O site não perguntou qualquer informação pessoal e ao invés disso, enviou um e-mail com um link de reset da senha, o que foi uma má notícia porque eu não tinha acesso à sua conta de e-mail. Assim, o e-mail tornou-se meu próximo alvo.

Passo 3: G-Mail: Eu tentei recuperar a senha de sua conta do gmail, apostando que essa era a conta para o qual o site do banco teria enviado o e-mail de reset da conta bancária. Quando tentei resetar a senha do gmail, o Google mandou um e-mail de reset para seu antigo endereço de e-mail do colégio. O interessante é que o gmail diz a você qual o domínio do endereço alternativo (por exemplo, xxxxxx.edu) para onde ele enviou o e-mail de reset e assim eu precisaria ter acesso a ele…

Passo 4: Conta de E-mail do Colégio: Quando usei a opção “esqueci minha senha” no servidor de e-mail do colégio, ele perguntou por algumas informações para resetar a senha: endereço residencial? (ok – achei no curriculum); CEP residencial? (ok – curriculum); país de residência? (uh – ok – achei no curriculum); e data de nascimento? (frustrante – eu não tinha isso). Eu precisava ser criativo.

Passo 5: Departamento de Trânsito: na esperança de que ela tenha tido alguma multa por excesso de velocidade, fui atrás dos websites dos departamentos de trânsito dos estados, pois muitos deles permitem a pesquisa de infrações pelo nome do motorista. Esses registros incluem a data de nascimento (entre outras coisas). E tentei isso durante uns 30 minutos, sem sucesso, quando eu percebi que havia uma maneira que provavelmente seria mais fácil.

Passo 6: De volta ao Blog: Num raro momento de intuição eu simplesmente procurei no seu blog por “aniversário”. Ela fez uma referência a isso em um post, o que me deu o dia e mês, mas não o ano.

Passo 7: Fim de jogo: Eu voltei à tela de recuperação de senha do e-mail do colégio e digitei sua data de nascimento, “chutando” no ano. Aconteceu que eu “chutei” errado, mas o incrível é que o site me deu 5 chances de acertar e ainda me dizia qual era o campo que continha a informação errada. Então eu mudei a senha da conta de e-mail do colégio, o que me deu acesso ao e-mail de reset do gmail. Após clicar no link, o Google me fez algumas perguntas pessoais que eu achei facilmente no seu blog (local de nascimento, sobrenome da mãe, etc). Mudei a senha do gmail, o que meu deu acesso ao e-mail de reset do banco, que fez mais algumas perguntas pessoais (nome do animal de estimação, número de telefone residencial, e por aí vai) que eu tinha achado no seu blog. Uma vez resetada a senha da conta bancária eu tive acesso ao seu dinheiro (ou pelo menos poderia ter tido).

Desnecessário dizer, Kim ficou assustada. Toda sua identidade digital estava precariamente apoiada na sua conta de e-mail do colégio; uma vez que eu obtive acesso a ela, o resto das suas defesas caiu como uma fileira de dominós. O que é preocupante sobre esse caso em particular é o quão comum ele é. Para muitos de nós, a abundância de informações pessoais que colocamos online combinados com os modelos populares de reset de senha por e-mail, deixa nossa segurança toda apoiada em uma ou duas contas de e-mail. No caso de Kim, algumas informações vieram de um blog, mas poderia facilmente ter vindo da página do MySpace (NT: ou do Orkut) ou de diversos outros lugares da internet.

Para combater essa ameaça, precisamos aprimorar as formas de provar quem somos online e do que disponibilizamos na internet. Faça um teste você mesmo. Tente resetar suas senhas e veja quais perguntas são feitas para verificar sua identidade. Algumas perguntas são melhores que outras. Data de nascimento, por exemplo, é ruim. Existem diversos registros públicos disponíveis para rastrear sua data de nascimento. A maioria das opções de reset de senha oferecem variações de perguntas e métodos a serem usados. Opte pelas perguntas mais obscuras mas que você não esqueça. Evite questões que são fáceis de adivinhar, como em que estado você abriu sua conta bancária. De qualquer forma, essas são apenas medidas paliativas até que encontremos melhores formas de provar nossa identidade online.

É fundamental lembrar que uma vez que você coloque alguma informação online, é virtualmente impossível excluí-la posteriormente. Quanto mais você “bloga” sobre você, mais detalhes você coloca em seu perfil social, mais informação pode ser obtida a seu respeito, copiado, salvo e analisado quase instantaneamente. Pense primeiro, publique depois.


Comentários pessoais

Felizmente o sistema bancário brasileiro é um dos mais seguros do mundo e até onde eu sei, nenhum banco brasileiro adota essa política de troca de senhas, mas o fato é que a sua identidade digital pode ser seqüestrada sim, para muitos outros fins, como difamações, injúrias, obtenção de informações confidenciais, etc.

Esse artigo ilustra com um caso real, que pode acontecer com você mesmo e talvez você não tenha a sorte de ser apenas uma experiência, feita com fins meramente educacionais. De qualquer forma, espero que isso sirva para alerta-lo a respeito das coisas que você publica sobre você mesmo.

A experiência descrita no artigo, baseia-se na fragilidade dos sistemas de autenticação, ou seja provar que você é quem diz ser. Acredito que o caminho para a prova da nossa identidade digital esteja com a popularização da assinatura digital, mas isso é assunto para outra conversa.

Até mais.

About these ads

Uma resposta para “Como roubei a identidade de outra pessoa

  1. Belo Post! Ainda encontramos muitas informações sobre inúmeras pessoas na internet, você encontra desde endereço ate número do certificado de reservista =D

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s