2015/07/17
Apps com milhões de utilizadores não limitam tentativas de descoberta de passwords
Se pensavam que hoje em dia qualquer serviço com registo de utilizadores teria consideração pelas mais básicas regras de segurança, parece que infelizmente não é o caso. Um estudo revela que apps populares e de grandes empresas, com milhões de utilizadores nem sequer limitam o número de tentativas com passwords erradas.
Com tantos incidentes que quase diariamente nos relembram para a fragilidade de sistemas informáticos, com hackers a apoderarem-se das bases de dados de inúmeras empresas, e também casos mediáticos (como o das fotos expostas do iCloud) pensar-se-ia que todos tivessem um pouco mais de atenção, pelo menos no que diz respeito às mais básicas regras de segurança que serão "senso comum".
Uma dessas regras será não permitir que alguém possa estar a tentar continuamente milhares e milhares de passwords até que acerte na correcta (o chamado ataque brute-force), mas infelizmente continuam a haver apps populares que nem sequer limitam o número de tentativas para passwords erradas!
As apps da CNN, Slack, Expedia, Zillow, SoundCloud, AutoCAD, e Kobo, são apenas algumas das que permitem que um atacante possa ir tentando quantas passwords quiser, sem qualquer limitação - havendo muitas mais que ainda não foram reveladas publicamente (a empresa que detectou estas vulnerabilidades dá 90 dias às empresas para corrigirem o problema, sendo estas apenas das algumas que já deixaram esse prazo passar sem resolver o assunto.)
Mais um caso que nos faz duvidar da real qualidade das apps que nos chegam, mesmo quando se tratam de apps populares e ou de empresas que supostamente deveriam saber o que fazem. Será assim tão difícil implementar algo como aumentar progressivamente um tempo de espera mínimo a cada tentativa errada?
Subscrever:
Enviar feedback (Atom)
É bastante fácil fazer esses sistemas, difícil é convencer quem manda (e não faz ideia do que são) que são precisos... isto dentro de deadlines já (normalmente perto de) impossíveis à partida.
ResponderEliminar