Invadir a conta de e-mail pessoal de alguém é a melhor maneira para controlar sua presença online, e novas pesquisas mostram que fazer isso é assustadoramente fácil.
Um estudo recente realizado por Lucas Lundgren, da empresa de segurança IOActive, mostra que tudo de que se precisa para invadir um e-mail privado é um bom conhecimento sobre como os sites processam as solicitações de redefinição de senha do usuário e da paciência para pesquisar a vida online de alguém até encontrar algumas informações importantes. E alguém que receba extratos bancários ou de cartões de crédito, ou ainda que tenha documentos de trabalho em sua conta de e-mail pessoal – sem mencionar outras informações particulares – sabe exatamente como essa perspectiva é assustadora.
Em uma tentativa de invadir a conta do Gmail de uma pessoa amiga (com permissão) para esta pesquisa, Lundgren começou tentando redefinir a senha da conta. Isso levou à descoberta de que essa pessoa tinha uma conta do Hotmail alternativa, embora não soubesse o endereço exato. Então, Lundgren verificou a conta dessa pessoa no Facebook e criou uma conta fictícia para alguém que ele concluiu que era amigo dessa pessoa. Ele enviou uma solicitação de amizade dessa conta fictícia do Facebook à pessoa em questão e, quando a solicitação foi aceita, Lundgren obteve o endereço do Hotmail.
Para redefinir a senha da conta do Hotmail, Lundgren pesquisou a página dessa pessoa no Facebook para responder à pergunta de segurança (nome de solteira da mãe), o que o deixou a um passinho do seu objetivo principal: invadir a conta do amigo no Gmail. Ele solicitou a redefinição da senha do Gmail e o Gmail enviou o e-mail necessário à conta do Hotmail que Lundgren havia acabado de invadir. E, dessa forma, Lundgren comprometeu o Gmail do amigo.
Só por brincadeira, Lundgren usou métodos semelhantes para invadir a conta do amigo no Facebook. Lundgren agora controlava a vida online do amigo e tinha diversas possibilidades de compra (iTunes, uma loja de eletrônicos) por meio de informações encontradas na conta do Gmail.
O Gmail oferece uma opção de login de segurança em duas etapas que permite que os usuários usem um aplicativo móvel para receber códigos de segurança descartáveis que devem ser usados além da senha padrão. Mas esta é apenas uma opção e muitos sites com login sensível a maiúsculas e minúsculas não possuem tal recurso.
Como é assustadoramente fácil encontrar as informações necessárias para capturar a identidade on-line de alguém, Lundgren sugere que as pessoas restrinjam as informações que compartilham online, especificamente no Facebook. E, como proteção extra, ele sugere que as pessoas não guardem dados confidenciais no e-mail – em vez disso, diz ele, os usuários devem imprimir extratos bancários, faturas de cartões de crédito etc., manter esses documentos em papel e excluir as formas online.
Porque, inegavelmente, segurança nunca é demais.