Jeremy Kahn
Bloomberg 23/11/2017 – 16h19
A violação de dados na Uber Technologies contém uma lição para os desenvolvedores de software que usam serviços terceirizados para armazenar e compartilhar código: tenham cuidado com o que vocês compartilham.
Serviços como Github, GitLab e SourceForge, com sedes em São Francisco, são utilizados por desenvolvedores para colaborar em projetos, rastrear erros no código e distribuir versões iniciais de aplicativos. Eles também são alvo de ladrões cibernéticos.
A Uber perdeu registros de 57 milhões de clientes e motoristas quando hackers conseguiram acessar uma área protegida por senha do Github, um dos repositórios de códigos mais populares do mundo. Isso também já havia acontecido antes.
“Repositórios de códigos podem ser muito problemáticos”, disse Chris Boyd, analista da empresa de segurança cibernética Malwarebytes. Muitas companhias demoram para remover detalhes de login desses serviços de armazenamento quando os desenvolvedores saem.
No início deste mês, um pesquisador de segurança descobriu que desenvolvedores de software para a fabricante chinesa de drones SZ DJI Technology tinham deixado as senhas privadas de suas contas na nuvem do Amazon Web Services e de todos os sites da empresa em códigos postados publicamente no Github.
Em 2014, hackers encontraram uma senha de login deixada nos códigos que os desenvolvedores da Uber colocaram publicamente no Github, o que resultou no roubo de dados de 50.000 motoristas da Uber. A empresa de transporte particular processou o Github em 2015 para forçá-lo a entregar informações sobre usuários que poderiam ter acessado o site onde o código se originou.
Edwin Foudil, pesquisador de segurança que usa o pseudônimo EdOverflow, disse que muitas empresas incluem equivocadamente senhas e chaves privadas no código que postam em serviços de armazenamento.
“É incrivelmente comum”, disse Foudil, acrescentando que alguns desenvolvedores supõem que seu código está seguro quando está em uma área protegida por senha. “Eles consideram que o repositório é privado, mas essa não é uma boa prática.”
Os hackers que procuram vulnerabilidades analisam constantemente os códigos postados de forma pública no Github em busca de senhas e chaves de criptografia privadas que os desenvolvedores tenham deixado visíveis, explicou ele.
O Github não quis comentar sobre contas individuais quando consultado sobre o último ataque à Uber. A empresa informou que aconselha os usuários a “nunca armazenar tokens de acesso, senhas ou outras chaves de autenticação ou criptografia nos códigos”. Se os desenvolvedores precisarem incluir esses itens, eles devem usar procedimentos de segurança adicionais “para prevenir o acesso não autorizado ou o uso indevido”.
É pouco provável que o ataque hacker à Uber detenha o uso de serviços de compartilhamento de código. Muitas empresas recorrem a esses repositórios para armazenar e compartilhar códigos entre equipes de programação que estão espalhadas pelo planeta. Os sites ajudam as empresas a controlar em quais versões do software seus programadores estão trabalhando.
Sjoerd Langkemper, especialista em segurança na Holanda que faz testes de penetração para aplicativos web, disse que ainda há boas razões para usar esses sites.
“Armazenar seu código em um repositório privado do GitHub é como armazenar documentos no Google Drive: é um pouco menos seguro do que armazená-los em seu disco rígido, mas para muitos os benefícios superam o risco adicional”, disse ele.
