iPod School

Depois do Developer Center da Apple, Tango e Viber são invadidos

André BazagliaAndré Bazaglia

Segurança parece ser uma palavra-chave super delicada – e quase impossível, pelo que percebemos na prática – nos sistemas que envolvem algoritmos mais complexos. Se já é difícil para programadores das grandes empresas se organizarem para desenvolverem sistemas inteiros, agregar tudo isso à otimizações, tendo como resultado final um software que sempre agrada usuários em performance, e segurança: o essencial.

Há 4 dias, a Apple teve o banco de dados do seu Developer Center acessado. Ibrahim Balic, um especialista em segurança, se identificou como responsável pelo ataque, afirmando que fez aquilo com o intuito de reportar à Apple as falhas de segurança. Assim que ele avisou à Apple pelo site de bugs, a gigante cupertiniana retirou imediatamente o portal de desenvolvedores no ar. Ibrahim diz ter feito aquilo com o intuito de reportar o problema à Apple, mas se sentiu ofendido com a postura adotada pela empresa: a Apple nem o agradeceu. Quando ele diz ter descoberto o mesmo tipo de falha no Facebook, a empresa de Mark Zuckerberg lhe agradeceu verbalmente e lhe enviou um boné e uma camiseta como presentes simbólicos.

Agora, foi a vez de dois aplicativos terem seus sistemas invadidos: Viber e Tango. O caso do Tango foi mais sério, e você verá o porque ao longo desta matéria. Os dois são famosíssimos no universo do Android e do iOS por serem os melhores no que fazem: oferecem ligações e troca de mensagens gratuitas entre seus usuários com qualidade excepcional para um serviço gratuito.

viber_hacked

Parte do banco de dados do Viber.

O Tango teve 1,5TB de dados acessados. Já o grupo responsável por hackear o Viber alegou que o sistema do aplicativo foi desenvolvido para rastreamento e espionagem, mas não há evidências disso. A equipe do Viber publicou uma nota explicando o que aconteceu: um de seus funcionários foi vítima de um ataque email phishing. E tal ataque deu acesso aos hackers à duas áreas do banco de dados do Viber: um painel de suporte para usuários e um sistema de administração de suporte. A imagem ilustrativa acima é a screenshot de um desses sistemas. Sendo assim, usuários, senhas e e-mails de usuários do Viber provavelmente NÃO foram acessados.

No caso do Tango, onde os dados de usuários foram realmente acessados, apenas os campos de senha de usuários eram protegidos com encriptação – provavelmente envolvendo hash e salt, “one way”, tornando a desemcriptação (quase) impossível. As outras informações do banco de dados estão expostas – e nas mãos de hackers.

Nessa mesma semana, recebi um e-mail do fórum oficial do Ubuntu (sistema operacional Linux) informando que meu usuário, meu e-mail minha senha haviam sido roubados.

Conclusão: nem eu nem você estamos seguros na internet.

via iClarified [1, 2].

Programador, blogueiro, estudante de Engenharia de Computação. Em busca de deixar sua marquinha no universo.