A Aptoide anunciou o lançamento de um novo sistema de autenticação para a sua loja de aplicações Android, uma das maiores do mercado. A decisão surge como uma resposta ao ataque informático sofrido pela empresa e que resultou no roubo de mais de 39 milhões de credenciais de acesso e na disponibilização de 5,5 milhões de passwords desprotegidas num fórum para hackers.
A tecnológica portuguesa optou por um sistema de autenticação sem password fixa. Sempre que alguém tentar registar-se ou autenticar-se na Aptoide, já não terá de introduzir um nome de utilizador e uma palavra-passe: o utilizador introduz o endereço de e-mail, para o qual é enviado um código de autenticação de seis dígitos. E sempre que o utilizador fizer uma nova autenticação, recebe um novo código no e-mail. Desta forma nem o utilizador precisa de definir – e lembrar-se – de uma password, como a Aptoide também não guarda essa chave secreta.
A Aptoide revela ainda que, daqui em diante, a única informação dos utilizadores que vai ser guardada na base de dados da empresa é o endereço de e-mail. Para reforçar a segurança do armazenamento desta informação, a empresa vai usar a função de dispersão criptográfica (hash) bcrypt, um sistema que é conhecido por ser resiliente contra ataques de força bruta – justamente a tipologia de ataques que permitiu revelar milhões de passwords de clientes da Aptoide.
O sistema bcrypt também integra a aplicação de um mecanismo adicional de defesa, denominado salt. O salt é uma palavra, conjunto de caracteres ou de números que é adicionado automaticamente à informação que se pretende preservar através de um sistema de hashing. No caso de um e-mail, este acréscimo de informação faz com que o hash gerado seja sempre diferente para cada e-mail, o que diminui a possibilidade de descoberta do endereço real através de ataques de força bruta [tentativas múltiplas].
Duas prioridades
Além da mudança no sistema de autenticação, fonte da Aptoide ouvida pela Exame Informática revelou ainda que dentro da empresa existem neste momento outras duas grandes prioridades: a análise forense do ataque e o reforço da segurança da infraestrutura tecnológica da loja de aplicações para Android.
Do que foi possível apurar, a empresa já reforçou a segurança de três sistemas que, não estando vulneráveis, foram identificados como de menor segurança e que já viram as suas medidas de proteção reforçadas. A mesma fonte revelou ainda que o processo de análise forense ao servidor atacado continua a ser feita e que é expectável que os primeiros resultados preliminares só sejam conhecidos dentro de duas semanas, estando a tecnológica a trabalhar também com as entidades responsáveis pelo crime informático em Portugal.
