Air Canada força 1,7 Mi de usuários a trocar sua senha. A Air Canada está forçando 1,7 milhão de correntistas de aplicativos móveis a redefinir suas senhas depois que detectou um comportamento incomum de login, que pode ter exposto 20.000 contas, incluindo detalhes do passaporte dos clientes. Mas a companhia aérea tem sido forçada a combater problemas técnicos em curso, assim como grande quantidade de usuários irritados.
A Air Canada bloqueou as contas de celular de todos os usuários depois de detectar logins suspeitos em um período de três dias, a partir de 22 de agosto.
Na quarta-feira, 29 de agosto, uma semana após o início dos registros suspeitos, a empresa começou a entrar em contato – por e-mail – com clientes cujas contas podem ter sido acessadas por hackers.
“Nós imediatamente agimos para bloquear essas tentativas e implementamos protocolos adicionais para proteger contra novas tentativas não autorizadas“, disse a companhia em um alerta de segurança publicado em seu site. “Como precaução adicional de segurança, bloqueamos todas as contas de aplicativos móveis da Air Canada para proteger os dados de nossos clientes.”
Dados do passaporte em risco
As informações pessoais contidas no aplicativo podem variar dependendo de quanto um usuário compartilha. No mínimo, os perfis de aplicativos contêm o nome, o endereço e o endereço de e-mail de uma pessoa. Alguns clientes também podem inserir seus dados de passaporte, o que inclui a data de nascimento, a nacionalidade, a data de vencimento do documento, o país de emissão e o país em que residem permanentemente.
Outros dados dentro de contas podem incluir um número Aeroplan, que é o programa de fidelidade da Air Canada; um número para o NEXUS, que é um programa que permite que alguns viajantes passem pela imigração mais rapidamente quando vão entre os EUA e o Canadá; e um Número de Viajante Conhecido (Known Traveler Number), que faz parte do programa de pré-seleção acelerada da U.S. Transportation Security Administration’s.
A Air Canada tentou acalmar as preocupações dos clientes com os dados vazados do passaporte, dizendo que o risco de terceiros pegarem os dados do passaporte e obter um novo documento é baixo se as pessoas ainda têm o passaporte, bem como prova de cidadania e documentos de identidade. O governo do Canadá, por exemplo, não emitirá um novo passaporte para alguém “baseado apenas nas informações encontradas em um passaporte“, diz a companhia aérea.
A Air Canada diz que a violação não expôs nenhum dado do cartão de pagamento. A companhia aérea diz que todos os dados do cartão de pagamento são criptografados e mantidos de acordo com o padrão de segurança de dados do setor de cartões de pagamento, conhecido como PCI-DSS.
Companhia aérea invalida todas as senhas de aplicativos para dispositivos móveis
A decisão da Air Canada de bloquear todas as contas móveis e forçar os usuários de aplicativos a redefinir suas senhas é um passo que muitos provedores de serviços online tentam evitar, porque isso freqüentemente irrita os usuários e pode levar a desafios de suporte ao cliente.
Troy Hunt, especialista em violação de dados e criador do serviço “Have I Been Pwned“, diz que uma redefinição de senha em todo o usuário “é realmente uma abordagem contundente e maluca“.
A restauração ajudará a proteger as contas dos usuários que escolheram senhas fracas ou reutilizaram as mesmas senhas em diferentes serviços, diz Hunt. Mas essa redefinição pune qualquer um que já tenha senhas fortes e exclusivas para todos os serviços que usa, acrescenta.
Hunt diz que a redefinição do sistema sugere que a Air Canada foi atingida por um grande ataque de preenchimento de credenciais. Tal ataque envolve hackers pegando grandes listas de endereços de e-mail e senhas que foram acumuladas de violações de dados e usando-as para tentar desbloquear contas em outros sites não relacionados.
O aplicativo móvel da Air Canada exige um endereço de e-mail e uma senha para se conectar, então é um alvo óbvio para esse tipo de ataque, diz Hunt. Embora as organizações possam adotar medidas para proteger contra ataques automatizados de preenchimento de credenciais, por exemplo, tentativas de acesso limitadas por meio de APIs, “tenderá a ser indiferente” para a implementação de tais proteções, diz ele.
Muitas organizações bloquearão uma conta se alguém que tentar acessá-la digitar uma senha incorreta muitas vezes do mesmo endereço IP. Mas os invasores avançados costumam burlar essa defesa usando um grande grupo de endereços IP, diz Hunt. Além disso, se os invasores tivessem executado várias tentativas de login bem-sucedidas, a Air Canada poderia ter tido dificuldades em separar os logins legítimos dos não autorizados e, portanto, optou por redefinir todas as senhas, diz Hunt.
Usuários irritados
Um grande problema com a redefinição de senhas em todo o sistema é que elas costumam irritar os usuários e sobrecarregar as equipes de suporte ao cliente. De fato, a Air Canada alertou que sua decisão de redefinir as senhas de todos os usuários de aplicativos móveis pode causar atrasos no atendimento ao cliente.
“Pedimos aos clientes que sejam pacientes e assegurem que seus dados estão protegidos e não estão acessíveis a usuários não autorizados. Pedimos desculpas pelo atraso“, diz a empresa. “Por favor, espere algumas horas e tente novamente.”
Várias pessoas já se queixaram de sua incapacidade de redefinir sua senha, de acordo com a seção de comentários do aplicativo móvel da Air Canada na Google Play Store.
“Lixo! Recebo um e-mail esta manhã dizendo que minha conta mobile+ foi acessada de forma suspeita e vou no aplicativo para alterar minha senha, e ela não me permite“, escreve um usuário. “Então eu saio e vou entrar novamente, me diz para desligar o modo avião e ligar o Wi-Fi. Cara, eu estou na minha própria casa!”
Desvantagens da complexidade da senha
Como parte do processo de reinicialização, a Air Canada diz que está “usando diretrizes de senhas aprimoradas para melhorar ainda mais as medidas de segurança“. As novas diretrizes de senha aconselham o uso de pelo menos 10 caracteres, com uma letra maiúscula, um número, um símbolo ou caractere especial e uma letra minúscula.
Mas um usuário do Twitter notou que a orientação de senha é diferente para o site.
Hunt diz que forçar os usuários a se adequar a um nível definido de complexidade está caindo cada vez mais em desuso. No ano passado, o Instituto Nacional de Padrões e Tecnologia publicou suas mais recentes diretrizes de identidade digital, recomendando especificamente contra essa prática. Isso porque os usuários tendem a alterar suas senhas com pequenas modificações para se adequar às regras de complexidade, e essas senhas ligeiramente alteradas podem ser fáceis para os invasores adivinharem.
Quando regras de complexidade de senha estão em vigor, os usuários “escolherão algo terrível, e isso é a natureza humana“, diz Hunt.
Uma pesquisa da empresa Dashlane mostra que 46% de site de consumo, como Netflix, Dropbox e Pandora, e 36% de sites corporativos, incluindo DocSign e Amazon Web Services, falham ao implementar requerimentos básicos de segurança.
Os sites mais populares fornecem pousca orientação quando se trata de políticas de senha seguras. Dos 17 sites de consumo que falharam nos testes de Dashlane, oito são sites de entretenimento / mídia social e cinco são de comércio eletrônico.
Mais preocupante? Os pesquisadores criaram senhas usando apenas a letra minúscula “a” na Amazon, Google, Instagram, LinkedIn, Venmo e Dropbox, entre outros.
“Criamos o ranking de força de senha para conscientizar todos que muitos sites que usamos regularmente não possuem políticas para impor medidas de senha seguras. É nosso trabalho alertar os usuários para que sejam especialmente vigilantes sobre nossa segurança cibernética, e isso começa com ter senhas fortes e exclusivas para cada conta“, disse Emmanuel Schalit, CEO da Dashlane. “No entanto, as empresas são responsáveis por seus usuários e devem orientá-los para melhores práticas de senha“
fonte Dashlane Blog
Os pesquisadores fizeram o ranking utilizando 5 critérios para a composição de uma senha forte:
- A senha deve ser maior que 8 caracteres
- Requer senha Alfanumérica incluindo números, letras e caracteres especiais
- O site faz verificação de força da senha
- Mecanismos de proteção contra ataque de força bruta (por. captcha)
- Segundo fator de autenticação
Padrão no Reuso de Senhas
Em maio deste ano, publicamos aqui no Blog Minuto da Segurança que pesquisadores descobriram que a reutilização e modificação de senha é um comportamento muito comum (observado em 52% dos usuários). Mais surpreendentemente, serviços online confidenciais, como sites de compras e serviços de e-mail, receberam as senhas mais reutilizadas e modificadas. Também foi observado que os usuários ainda reutilizaram as senhas já vazadas de outros serviços online por anos após a violação de dados inicial.
Senhas podem ser quebradas em 10 tentativas
Veja também:
- Pwned Password V2 aumenta sua base de senhas de 320 milhões para 501 milhões
- As Piores Senhas de 2017
- Pesquisadores Revertem 320 milhões de Password Hash
- Pesquisa Faz Ranking de Password de Sites na Internet
- Erros comuns na composição das passwords
- Como criar a Password Perfeita?
- Trocar de senhas periodicamente não é tão seguro quanto você pensa
Para quantificar os riscos de segurança, os pesquisadores desenvolveram um novo algoritmo de adivinhação baseado em treinamento. Avaliações extensas mostram que mais de 16 milhões de pares de senhas (30% das senhas modificadas e todas as senhas reutilizadas) podem ser quebradas em apenas 10 tentativas. O resultado sugere que mecanismos mais proativos são necessários para proteger as contas de usuários após grandes violações de dados.
Portanto, a ação da Air Canadá de forçar que todos os usuários troquem suas senhas pode não surgir o efeito esperado, pois embora muito se tenha alertado os usuário, senhas fracas ainda são constantemente utilizadas na web. Senhas como : 12345, 123456, 1234567, 12345678, 123456789, admin, password, abc123 e login, estão entre as 17 piores senhas mais utilizadas na web em 2017.
fonte Splashdata
Melhores Práticas de Segurança Online para Proprietários e Desenvolvedores de Sites:
- Faça com que as senhas tenham mínimo de 8 caracteres
- Exija senhas alfanuméricas e sensíveis a maiúsculas e minúsculas
- Forneça um medidor ou uma barra de códigos de cores para confirmar o comprimento e a força da senha
- Envie um email aos usuários quando as senhas forem alteradas
- Crie uma Black list das senhas mais comuns encontradas na web e as proíba
- Considere a possibilidade de instituir uma política e implemente mecanismos de bloqueio de conta para frustrar ataques de força bruta
- Implemente a autenticação de 2 fatos de suporte
Melhores Práticas de Segurança Online para Usuários da Web:
- Gerar senhas que excedam o mínimo de 8 caracteres
- Crie senhas com uma mistura de letras, números e símbolos especiais sensíveis a maiúsculas e minúsculas
- Use sempre uma senha exclusiva para cada conta online
- Evite usar senhas que contenham palavras, frases, gírias, lugares, nomes, etc. de fácil conhecimento ou relacionamento com seus hábitos
- Use um gerenciador de senhas para ajudar a gerar, armazenar e gerenciar suas senhas.
Fonte: Bank Info Security & Splashdata & Dashlane
Deixe sua opinião!