Todos devemos tomar medidas de bom senso para garantir que nossos dados permaneçam seguros e protegidos: usar senhas fortes em nossas contas e nunca reutilizá-las; empregar autenticação de dois fatores em qualquer conta que a ofereça; e evite clicar em links estranhos em e-mails ou mensagens de texto. Mas mesmo quando você segue todas essas regras, seus dados pessoais ainda podem estar em risco, estritamente porque os serviços dos quais você confia não seguem essas regras.
Alguns sites estão colocando suas senhas em risco
Pesquisadores da Universidade de Wisconsin-Madison descobriram que um número preocupante de extensões de navegador pode acessar informações confidenciais inseridas em sites. Pense em senhas, informações de cartão de crédito e números de Seguro Social.
A equipe por trás da descoberta diz que não estava procurando divulgar uma história de segurança. Em vez disso, eles estavam “mexendo nas páginas de login”, especificamente nas páginas de login do Google, quando descobriram que o código-fonte HTML dos sites podia ver as senhas digitadas em texto simples. Eles voltaram sua atenção para outros sites – mais de 7.000, supostamente – e descobriram que cerca de 15% deles também armazenavam informações confidenciais em texto simples. São mais de 1.000 sites que expõem dados importantes.
Isso, é claro, não deveria acontecer: quando você insere dados confidenciais em um site – digamos, sua senha na página de login do Google – esse site não deveria ver sua senha. Resumindo, os sites confirmam suas senhas por meio de algoritmos de hash – essencialmente, misturando sua senha em um código que pode ser verificado em relação ao código que o site armazena. Eles podem então confirmar que você digitou a senha correta sem nunca expor o texto real. Ao armazenar coisas como senhas e números de Seguro Social em texto simples, esses sites expõem esses dados a qualquer pessoa que os conheça.
É importante ressaltar que isso inclui extensões de navegador. Os pesquisadores afirmam que 17.300 extensões do Chrome – ou 12,5% das extensões disponíveis para download no navegador do Google – têm as permissões necessárias para visualizar esses dados confidenciais de texto simples. Pense nas permissões que você ignora ao configurar uma nova extensão, incluindo permissões que dão às extensões acesso total para ver e alterar o que você insere em uma página da web. Os pesquisadores não expuseram nenhuma extensão pelo nome, pois a situação não é necessariamente culpa das extensões, mas considerando o escopo, é possível que algumas das extensões que você usa possam acessar informações confidenciais inseridas em determinados sites.
Novamente, as extensões legítimas não são a prioridade: em vez disso, existe o risco de um desenvolvedor criar uma extensão com a intenção de extrair informações confidenciais armazenadas em texto simples. Embora os pesquisadores afirmem que ainda não existem extensões que abusem ativamente desta vulnerabilidade, este não é um problema teórico. Os pesquisadores criaram uma extensão do zero que poderia extrair esses dados do usuário, enviá-los para a Chrome Web Store e aprová-los. Eles o retiraram imediatamente, mas provaram que é possível para um hacker obter uma extensão tão maliciosa na loja oficial. Mesmo que o hacker não fizesse a extensão, ele poderia adquirir uma extensão legítima com uma base de usuários existente, ajustar o código para aproveitar a vulnerabilidade e lançar a extensão atualizada para usuários desavisados. Isso acontece o tempo todo, e não apenas no Chrome.
O que você acha até agora?
Como proteger seus dados confidenciais contra extensões maliciosas do navegador
Infelizmente, há pouco que você possa fazer para evitar que esses sites armazenem suas senhas, cartões de crédito e números de Seguro Social em texto simples. A esperança é que, após essas descobertas, os sites melhorem sua segurança e eliminem as vulnerabilidades. Mas isso é culpa deles, não você.
No entanto, existem algumas etapas que você pode seguir para mitigar os danos. Primeiro, certifique-se de limitar o uso de extensões do navegador. Quanto menos extensões você usar, menor será a probabilidade de usar uma extensão mal-intencionada. Use apenas extensões em que você confia totalmente e verifique atualizações com frequência. Se a extensão mudar de mãos para um novo desenvolvedor, verifique esse novo proprietário antes de continuar a usá-la. Você pode até desativar suas extensões ao compartilhar informações confidenciais com sites. Se precisar fornecer seu número de Seguro Social em um formulário oficial da web, por exemplo, você pode desativar suas extensões para evitar que leiam os dados.
Você também pode limitar os dados compartilhados que podem ser armazenados em texto simples. Se tiver a opção, use chaves de acesso em vez de senhas, pois as chaves de acesso não usam dados de texto simples que os hackers possam roubar. Da mesma forma, use sistemas de pagamento seguros, como Apple Pay ou Google Pay, que não compartilham as informações do seu cartão de crédito com o site em que você está fazendo o pagamento. O nome do jogo é evitar digitar seus dados confidenciais, a menos que seja absolutamente necessário – e então, reduzir as partes que podem ver esses detalhes.
