Ontem, o The New York Times reportou que uma gangue de cibercriminosos russos havia roubado mais de 1 bilhão de dados de usuários de milhares de sites em todo o mundo. A empresa de segurança Hold Security descobriu o golpe, mas estava mantendo sigilo sobre detalhes do ataque – incluindo a lista de páginas afetadas.
A Hold Security afirmou que havia entrado em contato com alguns dos serviços afetados a fim de alertá-los da necessidade de corrigir falhas e implementar medidas de segurança contra novos roubos de informações. Entretanto, até agora não se escutou nada a respeito do ataque russo por parte de outros sites, como aconteceu com o Heartbleed por exemplo. Na ocasião, grandes serviços online como SoundCloud e Yahoo! alertaram seus usuários da necessidade de alterar seus dados de login.
Mais intrigante ainda é a forma como a Hold Security reagiu após anunciar o ataque. A empresa está oferecendo um “monitoramento completo da identidade eletrônica” para internautas. Os primeiros dois meses do serviço são grátis e os meses seguintes custam US$ 120. Para contratá-lo, os clientes devem preencher um formulário de registro que exige informar seu e-mail e “versões criptografadas das suas senhas para compará-las com as das nossas bases de dados”, conforme os termos de uso da Hold Security. Não é possível nem mesmo verificar se seus nomes de usuários e senhas fazem parte do ataque, a menos que você finalize a contratação do serviço.
Tudo isso sugere que a Hold Security busca ganhar dinheiro com a insegurança alheia. Um serviço que muitas vezes é oferecido grátis está sendo usado para ganhar dinheiro. É comum ver empresas de segurança oferecerem ajuda gratuitamente às pessoas afetadas por ataques virtuais. Sony e Target deram serviços extras a seus usuários que tiveram dados hackeados, por exemplo.
Nós não somos os únicos desconfiados das intenções da Hold Security. Joe Siegrist, CEO do gerenciador de senhas LastPass afirmou:
Eu suspeito bastante da abordagem da Hold Security. Eles estão oferecendo um serviço de ‘monitoramento completo da identidade eletrônica’ para pessoas físicas pelo preço de US$ 120. A maioria das empresas de segurança que descobre casos como este oferece ajuda grátis aos usuários. A Hold Security ainda está pedindo seu e-mail antes mesmo de enviar os termos de serviço, algo que não estou disposto a fazer e que não recomendo ninguém a fazer também.
Alex Holden, fundador e CIO da Hold Security, explicou porque a empresa está cobrando por seu serviço de monitoramento de identidade. Em entrevista ao The Wall Street Journal, Holden disse que a taxa cobrada serve para recuperar os custos de verificação da propriedade dos sites. O site The Verge também se pronunciou a respeito do caso e disse que o método de hacking alegado pela Hold Security, conhecido como SQL Injection, é muito simples para invadir sites grandes como os revelados pela empresa de segurança.
Verdade ou mentira, o importante é que devemos usar sempre algumas técnicas para ao menos tentar manter nossos dados o mais protegidos possível. Recomendamos que você utilize dados de login – nomes de usuário e senha – diferentes para cada serviço. Se é difícil lembrar assim, tente usar um gerenciador de senhas. Ativar a verificação em duas etapas nos serviços que oferecem essa proteção extra também é bastante recomendado.
Nós tentamos entrar em contato com a Hold Security para escutar sua posição, mas não recebemos qualquer resposta até o momento da publicação desta notícia.
[Crédito da foto: NPP3 / theoddbird]
Leia também
- Ataque hacker russo rouba mais de 1 bilhão de dados de login
- Mapa interativo mostra ataques online em tempo real
Acompanhe o Softonic nas redes sociais: curta a fanpage do Softonic no Facebook e siga @softonic_br no Twitter.