Mesmo sem violações, não conte com sites para ocultar que você tem uma conta com eles

As empresas geralmente não conseguem se esconder se um endereço de e-mail está associado a uma conta em seus sites, mesmo se a natureza de seus negócios exigir isso e os usuários implicitamente esperam isso.

Isso tem sido destacado por violações de dados nos sites de namoro online AdultFriendFinder.com e AshleyMadison.com, que atendem a pessoas que procuram encontros sexuais ocasionais ou casos extraconjugais. Ambos estavam vulneráveis ​​a um risco de segurança de site muito comum e raramente conhecido como conta ou enumeração de usuário.

No hackear Adult Friend Finder, informações foram vazadas em quase 3,9 milhões de usuários registrados, dos 63 milhões registrados no site. Com Ashley Madison, os hackers afirmam ter acesso aos registros dos clientes, incluindo fotos nuas, conversas e transações com cartões de crédito, mas, segundo relatos, vazaram apenas 2.500 nomes de usuários até o momento. O site tem 33 milhões de membros.

[Leitura adicional: Como remover malware do seu PC com Windows]

As pessoas com contas nesses sites provavelmente estão muito preocupadas, não apenas porque suas fotos íntimas e informações confidenciais podem estar no site. mãos de hackers, mas porque o simples fato de ter uma conta nesses sites poderia causar-lhes pesar em suas vidas pessoais.

O problema é que, mesmo antes dessas violações de dados, a associação de muitos usuários com os dois sites não estava bem protegida e foi fácil descobrir se um endereço de e-mail específico havia sido usado para registrar uma conta.

O OWASP (Open Web Application Security Project), uma comunidade de profissionais de segurança que elabora guias sobre como se defender das falhas de segurança mais comuns na Web, explica o problema. Os aplicativos da Web geralmente revelam quando um nome de usuário existe em um sistema, seja por causa de uma configuração incorreta ou como uma decisão de projeto, diz um dos documentos do grupo. Quando alguém envia as credenciais erradas, elas podem receber uma mensagem dizendo que o nome de usuário está presente no sistema ou que a senha fornecida está errada. As informações obtidas dessa maneira podem ser usadas por um invasor para obter uma lista de usuários em um sistema

A enumeração de conta pode existir em várias partes de um site, por exemplo, no formulário de login, no formulário de registro de conta ou formulário de redefinição de senha. É causado pelo site responder de forma diferente quando um endereço de email inserido é associado a uma conta existente versus quando não é.

Após a violação no Adult Friend Finder, um pesquisador de segurança chamado Troy Hunt, que também executa o serviço HaveIBeenPwned.com Descobriu que o site tinha um problema de enumeração de conta em sua página de senha esquecida.

Mesmo agora, se um endereço de e-mail não associado a uma conta for inserido no formulário dessa página, o Adult Friend Finder responderá com: E-mail. ”Se o endereço existir, o site informará que um e-mail foi enviado com instruções para redefinir a senha.

Isso torna mais fácil para qualquer pessoa verificar se as pessoas que conhece possuem contas no Adult Friend Finder simplesmente digitando suas endereços de e-mail nessa página.

Naturalmente, uma defesa é usar endereços de e-mail separados, dos quais ninguém sabe criar contas nesses sites. Algumas pessoas provavelmente já fazem isso, mas muitas delas não o fazem porque não é conveniente ou não estão cientes desse risco.

Mesmo quando os sites estão preocupados com a enumeração de contas e tentam resolver o problema, eles podem não conseguir isso corretamente. Ashley Madison é um desses exemplos, de acordo com Hunt.

Quando o pesquisador testou recentemente a página de senha esquecida do site, ele recebeu a seguinte mensagem se os endereços de e-mail que ele inseriu existiam ou não: “Obrigado por sua solicitação de senha esquecida. Se esse endereço de e-mail existir em nosso banco de dados, você receberá um e-mail para esse endereço em breve. ”

Essa é uma boa resposta porque não nega ou confirma a existência de um endereço de email. No entanto, Hunt observou outro sinal: Quando o email enviado não existia, a página retinha o formulário para inserir outro endereço acima da mensagem de resposta, mas quando o endereço de email existia, o formulário era removido.

Em outros sites, o as diferenças podem ser ainda mais sutis. Por exemplo, a página de resposta pode ser idêntica em ambos os casos, mas pode ser mais lenta para carregar quando o email existe porque uma mensagem de email também deve ser enviada como parte do processo. Depende do site, mas em certos casos essas diferenças de tempo podem vazar informações.

“Então, aqui está a lição para qualquer um que crie contas em sites: sempre assuma que a presença de sua conta é detectável”, disse Hunt em um post no blog. "Não é necessária uma violação de dados, os sites freqüentemente lhe dirão direta ou implicitamente."

Seu conselho para os usuários preocupados com esse problema é usar um alias de e-mail ou uma conta que não seja rastreável por eles.