Há mais de 5,5 milhões de passwords em texto simples (plain text), ou seja, legíveis por qualquer um, e respetivos endereços de e-mail, numa lista que está a ser disponibilizada num conhecido fórum de hackers. Os dados em questão estão ligados ao ataque informático feito à tecnológica portuguesa Aptoide, divulgado na sexta-feira passada, e que terá resultado num roubo de mais de 39 milhões de credenciais de acesso daquela que é uma das maiores loja de aplicações Android do mercado.
Passava pouco das 19h30, hora de Portugal Continental, de sexta-feira, 17 de abril, quando uma publicação num dos mais conhecidos fóruns de hackers para bases de dados roubadas dava conta da disponibilização de um ficheiro com 20 milhões de credenciais de acesso roubadas à Aptoide – cerca de metade do total de credenciais que o hacker alega ter roubado. A Exame Informática viu uma cópia da lista de passwords desprotegidas e da base de dados divulgada e confirma que ambas estão relacionadas.
De acordo com a própria Aptoide, que já admitiu o roubo de informação no seu blogue oficial, foram roubadas informações de 32 milhões de utilizadores que estavam registados na Aptoide através dos sistemas de autenticação da Facebook e da Google. Neste caso, diz a empresa portuguesa, o atacante teve acesso ao endereço de e-mail associado às respetivas contas de Facebook e Google, assim como ao endereço IP usado na última autenticação feita pelo utilizador, mas não existem para estes utilizadores referências às suas respetivas passwords na base de dados roubada. “Existe uma entrada no [campo] password, mas são apenas caracteres aleatórios”, assegura a Aptoide.
A parte mais séria do roubo está nos 8,8 milhões de utilizadores que usaram um endereço de e-mail e password próprios para fazerem a autenticação na plataforma. “Se és um dos 8,8 milhões de utilizadores que registou-se usando um endereço de e-mail, a tua password está cifrada na base de dados usando a cifra SHA-1”, sublinha a Aptoide no mesmo comunicado, para depois acrescentar: “Apesar de o ataque à SHA-1 ser possível, demora muito tempo a fazê-lo com um ataque de força bruta [brute force, no termo em inglês]”.
“Contudo, não deves considerar a tua password segura. Se usaste uma palavra do dicionário ou uma password fácil, a tua password pode ser descoberta. Se usas a password noutros sites, também deves mudar a password nesses sites”, alerta e aconselha ainda a Aptoide.
Passwords já foram descobertas
Mas segundo uma outra publicação, feita no mesmo fórum de hackers no sábado passado e atualizada nesta segunda-feira, então mais de 5,5 milhões dessas passwords já foram descobertas e estão a ser partilhadas num ficheiro que está disponível, até para quem é um novo utilizador, no fórum de hackers e mediante um pagamento de oito euros.
“A Aptoide esteve mal. A conclusão é que eles usaram um algoritmo que não deve ser usado para passwords para guardar passwords”, disse um especialista em segurança informática ouvido pela Exame Informática, mas que preferiu não ser identificado.
O SHA-1, o sistema usado pela Aptoide para ‘mascarar’ as passwords de 8,8 milhões de utilizadores, é uma função de dispersão criptográfica. Na prática, este sistema transforma um texto – pode ser uma password de alguns caracteres ou um documento com milhares de palavras – numa série de 40 caracteres.
“Uma função de hashing não está a encriptar a password”, explica Pedro Umbelino, outro especialista em segurança informática ouvido pela Exame Informática. “[A função] Agarra na tua password, faz contas matemáticas e gera um resultado. Esse resultado é guardado. Quando o sistema quer autenticar [o utilizador], volta a aplicar a função e compara o resultado da função com o que está na base de dados”, explica, a propósito de como funciona o sistema de autenticação de palavras-passe baseado em SHA-1.
Mas esta função de dispersão criptográfica tem uma característica que a torna pouco recomendada para mascarar passwords – se dois utilizadores usarem a mesma password, o SHA-1 vai gerar o mesmo código único de 40 caracteres para estas palavras-passe. Exemplo: se dois utilizadores definirem ‘exameinformatica’ como a sua palavra-passe, o código gerado pelo SHA-1 vai ser igual para os dois. Além disso, o SHA-1 é considerado como uma tecnologia insegura desde 2005 e em 2017 foi mesmo considerada como ‘morta’ por falta de segurança.
Não sendo possível reverter o código de 40 caracteres único gerado para cada password, transformando-o na palavra-passe original, é no entanto possível fazer tentativas múltiplas [ataque de força bruta] a partir de um conjunto das passwords mais populares para chegar ao mesmo conjunto de 40 caracteres. Depois, o pirata informático só tem de comparar os seus resultados com os resultados da base de dados roubada.
Com um computador de consumo relativamente potente, é possível comparar cerca de mil hashs por segundo, o que significa que em poucas horas já é possível ter as passwords dos utilizadores que definiram palavras-passe muito comuns ou pouco complexas. “Em passwords com seis dígitos, fazer dehashing é praticamente automático”, sublinha Pedro Umbelino. Mais: já existem grandes bases de dados online, chamadas de rainbow tables, que têm por base outros roubos de informações, e que podem ser usadas por hackers para aceleraram a descoberta de novas palavras-passe em novos roubos – ou seja, grande parte do trabalho de ‘força bruta’ já aplicado noutros ataques reverte a favor da descoberta dos roubos mais recentes, como aquele do qual a Aptoide foi alvo.
Isto ajuda a explicar o porquê, de num relativo curto período de tempo, cerca de três dias, mais de 5,5 milhões de passwords já terem sido identificadas e disponibilizadas em texto simples.
“Outro dos problemas, se tiveres uma base de dados tão grande como esta [da Aptoide], sempre que existir um utilizador com a password 123456, só precisas do resultado de um para descobrir a password dos outros [que usam a mesma password]”, salienta Pedro Umbelino, que também é taxativo na análise que faz ao mecanismo de proteção escolhido pela Aptoide para milhões de credenciais de acesso: “Os algoritmos de hashing têm muitas aplicações, mas não se devem usar diretamente nas passwords”.
A Exame Informática tentou contactar por telefone os dois cofundadores da Aptoide, Paulo Trezentos e Álvaro Pinto, sobre o roubo de informação sofrido pela empresa, mas sem sucesso até à hora de publicação deste artigo.
Na informação partilhada no blogue da empresa, a Aptoide garante que além dos endereços de e-mail, passwords, números de IP e identificação do browser usado pelos utilizadores, não foram roubadas mais informações pessoais. “A Aptoide não armazena na base de dados cartões de crédito, informações de pagamento, números de segurança social e de telefone”, adianta. Em alguns casos, para quem fez o registo através da web e preencheu o campo de informação relativo à data de nascimento, esses dados também podem ter sido acedidos.
A empresa diz ainda estar a fazer uma análise forense, com a ajuda da empresa do centro de dados que alojava a base de dados, para tentar perceber o problema que deu origem ao roubo de informação, e também tomou medidas preventivas: o sistema de registo e autenticação na loja de aplicações Aptoide está desativado, o que impede que quem tiver acesso aos e-mails e às passwords em texto simples de aceder à loja em nome dos utilizadores afetados. As passwords dos utilizadores afetados foram também todas canceladas e já não serão válidas em próximas tentativas de autenticação na plataforma.
A tecnológica portuguesa garante ainda que o ataque não afetou 97% dos utilizadores, já que é possível descarregar aplicações Android da Aptoide sem que seja necessário um registo.
Se quiser saber se o seu e-mail está na lista de dados roubados no ataque à Aptoide, pode usar a ferramenta Have I Been Pwned, criado pelo especialista em segurança informática Troy Hunt – a informação relativa a este ataque já está disponível na plataforma. Aconselha-se ainda a todos os utilizadores com um registo na Aptoide que troquem as suas palavras-passe noutros serviços nos quais usam a mesma senha de segurança.
