O que fazer após um vazamento de dados: 5 passos para minimizar riscos

PC World / EUA
04 de maio de 2018 - 18h44
Especial traz dicas que ensinam o que fazer caso você seja vítima dos cada vez mais comuns vazamentos de informações na Internet.

Aconteceu mais uma vez. Outro grande serviço da web perdeu o controle sobre sua base de dados e agora você está lutando para ficar à frente dos criminosos. Por mais que a gente não goste deles, os vazamentos de dados estão aqui para ficar. 

A boa notícia é que esses acontecimentos não precisam causar pânico geral, não importa o quanto os dados em perigo possam ser sensíveis. Existem algumas medidas que você pode tomar para minimizar a sua exposição à potencial ameaça. Veja abaixo como fazer isso. 

Passo 1: Determinar os danos

A primeira coisa a fazer é descobrir o que os hackers levaram. Se eles conseguiram o seu nome de usuário e senha, por exemplo, não faz muito sentido alertar a operadora do seu cartão de crédito.

As notícias e os comunicados da empresa sobre o ocorrido devem deixar muito claro o que foi vazado. Foi apenas o seu endereço de e-mail, ou também havia dados da sua senha? E cartões de crédito ou dados pessoais como mensagens privadas?

Esse é o primeiro passo para criar um plano efetivo de recuperação. Mas antes de fazer qualquer coisa, é preciso fazer uma pergunta essencial - veja o tópico seguinte. 

Passo 2: Os criminosos podem usar os seus dados?

Os hackers colocam as mãos em dados o tempo todo. Mas muitas vezes essas informações são inutilizáveis por conta de práticas de segurança que incluem termos como “hash”, "salt" e criptografia. Se os dados estiverem na forma de “cleartext” (texto padrão), isso significa que nenhuma criptografia foi usada, e é tão fácil ler e manipular esses dados quanto visualizar informações em um documento Word ou em uma mensagem de e-mail padrão.

Os dados com hash, por outro lado, são informações que foram alteradas de tal forma que não é possível decodificá-las de volta para texto padrão. Os hashes costumam ser usados para bases de dados de senhas, por exemplo.

No entanto, nem todos os métodos de hash são iguais e alguns deles podem ser revertidos. Como uma segunda linha de defesa, uma empresa pode adicionar o que é chamado de “sal” (“salt”, no original em inglês) – dados aleatórios – para tornar mais difícil o processo de decodificação.  

Nos casos com hashes, você terá de investigar um pouco mais a funto para saber se a companhia acredita que as informações podem ser usadas  ou não. 

Por fim, a criptografia supostamente é um processo de duas vias em que apenas a pessoa com a “chave” (normalmente uma senha ou arquivo com senha) consegue decodificar os dados.

Mesmo que os hackers tenham roubado dados criptografados ou com hashes, as empresas ainda poderão aconselhar os usuários e clientes a alterarem as senhas, apenas como uma medida adicional.

Passo 3: Mude a Senha

Caso precise mudar a sua senha, então seja proativo. Mude-a logo de uma vez, e não fique esperando por um e-mail ou mensagem de alerta da empresa solicitando que faça isso, se possível. 

Se estiver usando essa mesma senha em outros sites e serviços, então você também terá de fazer essa mudança nos outros lugares. Um único vazamento pode derrubar diversas contas caso esteja reutilizando senhas – não faça isso. 

Passo 4: Adote medidas de segurança

Agora é um ótimo momento para começar a usar um gerenciador de senhas - caso ainda não faça isso. Esses programas podem criar códigos novos e difíceis de serem adivinhados e salvá-los para cada uma das suas contas on-line. Eles também protegem as suas senhas com criptografia, e (normalmente por uma taxa) as disponibilizam em todos os seus dispositivos. O nosso aplicativo favorito para esse tipo de serviço é o LastPass, mas o Dashlane não fica muito atrás (apesar de ser mais caro).

No entanto, as senhas não são mais o suficiente. Por isso, é uma boa ideia habilitar a autenticação de dois fatores nos serviços em que essa opção estiver disponível. Esse método de segurança significa que o seu serviço web exigirá um código secundário de seis dígitos antes de permitir que você acesse a sua conta – mesmo com a senha correta.

A melhor maneira de usar a autenticação de dois fatores é com um aplicativo ou aparelho dedicado a gerar esses códigos. Receber códigos via SMS não é recomendado, uma vez que as mensagens de texto são vulneráveis a uma variedade de ataques relativamente triviais.

Por fim, é importante criar um e-mail dedicado para a recuperação de senhas. Muitos sites e serviços permitem que você configure um endereço de e-mail específico para a recuperação de senhas que fique separado da sua conta de e-mail principal. Esse é o endereço em que você receberá links para reiniciar a sua senha após clicar na opção “Esqueceu a Sua Senha?” em um site.

É melhor ter um endereço de e-mail apenas para a recuperação de contas e que não esteja conectado com a sua identidade – se o seu Gmail for JAndrews, por exemplo, então não use JAndrews@outlook.com para esse novo endereço. Caso você use o seu e-mail padrão para a recuperação de contas, os hackers podem mirar esse endereço e, caso o comprometam, então poderiam assumir o controle da sua vida on-line.

Como com qualquer outro e-mail, certifique-se de que a sua conta de e-mail para recuperação esteja protegida com uma senha forte e autenticação de dois fatores.

Passo 5: entre em contato com a sua operadora de cartão

Caso o número do seu cartão de crédito também tenha sido comprometido, então você precisa alertar o seu banco ou operadora de cartão. Caso tenha sido um vazamento particularmente grande, há uma boa chance de que o seu banco já saiba sobre isso, mas ainda é uma boa ideia informar que você foi atingido. 

Você vai querer falar com um representante do banco ou instituição financeira e informar o que aconteceu. A empresa provavelmente irá cancelar o seu cartão para emitir um novo. 

E não espere para fazer isso. Notifique o seu banco ou operadora de cartão assim que ficar sabendo do vazamento para garantir que você não será responsabilizado por nenhuma cobrança fraudulenta.

Grandes vazamentos de dados são péssimos, mas já se transformaram em uma ocorrência comum. O que significa que não é uma questão sobre se você será atingido por um, mas quando isso acontecerá. A boa notícia é que ser um pouco proativo pode te ajudar a evitar possíveis dores de cabeça neste processo.