Início » Antivírus e Segurança » Desenvolvedor acusa Fon de salvar senhas sem criptografia

Desenvolvedor acusa Fon de salvar senhas sem criptografia

Avatar Por

Recentemente a Oi começou a oferecer no meu Rio de Janeiro um roteador específico que, quando conectado ao Oi Velox, libera parte da conexão para que as pessoas próximas e para que usuários de uma "rede social" própria possam utilizar a internet. A tal rede é a Fon, que ainda não tem presença tão forte no Brasil como se vê em outros países.

Essa mesma Fon está sob acusação de um desenvolvedor para web que afirma: eles utilizam texto puro (ou plain text, termo em inglês cuja tradução "oficial" eu confesso não saber), sem criptografia, para armazenar as senhas dos usuários.

Para fazer tal afirmativa, Peter Legierski, residente da Escócia, no Reino Unido, fez um teste muito simples. Ao tentar usar a Fon, percebeu que a sua senha não estava mais funcionando e solicitou uma senha nova pela ferramenta de "esqueci minha senha". No entanto, ao receber a mensagem da Fon sobre o assunto, lá estava a senha dele no corpo do email.

Fon: senha antiga chega por email

Legierski diz que esperava receber uma nova combinação, a partir da qual ele faria o acesso ao site da Fon e registraria uma nova senha. No entanto, depois de perceber que o email chegou com a senha ali, para qualquer um ver, o desenvolvedor agora faz um apelo: que todos os usuários da Fon troquem suas senhas para senhas únicas – que não sejam repetidas em nenhum outro canto da rede – e utilizem aplicativos de gerenciamento de senhas.

No artigo dele há uma série de pessoas questionando se realmente a Fon mantém as senhas armazenadas sem qualquer tipo de criptografia. A discussão é boa e o questionamento é válido, visto que o desenvolvedor não apresenta nenhuma prova incontestável de que falta segurança nos servidores da Fon. Por outro lado, se for mesmo verdade, uma comunidade de 6 milhões de usuários estaria correndo perigo.

Estou à espera de uma resposta da Fon sobre o assunto. Assim que se pronunciarem, volto aqui para mais esclarecimentos.

Mais sobre:

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rafael
Você não escreve de propósito? Quer dizer que sua mão vai digitando sozinha? :D
Rodrigo Fante
O fato é, se recuperaram a senha, algo está feito errado, mesmo que o rapaz tenha atirado no escuro no caso de chutar senha em texto puro.
Menezes
pra que que eles fazem isso cara? trabalho desnecessário, descriptografar usando algoritmos seguros gasta um processamento absurdo... é só fazer como qualquer site simples faz guardar o hash MD5 ou SHA da senha e comparar quando o usuário for entrar e ainda não gera publicidade negativa como essa matéria aí
Ibraim
Já recebi de vários sites minha senha lá no corpo do e-mail quando usei a recuperação.
Alan Cordeiro
Não neste caso.
GustavoUNQ
Podiam ter colocado o link referente ao Brasil... http://corp.fon.com/br
Thássius Veloso
Agradeço pelo comentário e pelo cumprimento! O motivo do Tecnoblog existir é justamente construirmos conhecimento juntos, trocarmos figurinhas e por aí vai. O que complica é quando vem leitor nos comentários com trezentas pedras na mão achando que escrevemos isso ou aquilo por engano de propósito. Jamais faríamos isso. Fico realmente feliz de ter esse feedback positivo acerca de uma conduta acertada. :)
@leozacche
Ô Thássius, plain text em Português geralmente é "texto puro" mesmo, embora não carregue metade do seu significado, ao contrário do termo em inglês. O "plain" (de puro, plano ou claro) significa que está (olha só!) claro, aberto, não escondido - no caso, não criptografado. Talvez por isso, eu já tenha ouvido, além de "texto puro", as versões "texto aberto", "texto claro" e até (argh!) "texto limpo". Mas o mais legal foi você ter, de cara, dito que não sabia "precisamente" o que era. Já vi outros artigos por aqui onde o autor se arriscou a esclarecer um termo que não dominava e acabou errando o tiro... e foi sumariamente execredo nos comentários. +1
@leozacche
Pois é, e isso vindo de alguém que se diz desenvolvedor... ou o carinha quis ganhar audiência (saca aquelas manchetes que dão a entender uma coisa, e quando você lê a matéria descobre que é outra?)... Ou tá aí mais um motivo do nosso prostituído mercado. Criptografia reversível (ou "de mão-dupla") é desaconselhável, mas não é tão ruim quanto armazenar em plain text. Ruim mesmo é enviar a senha em email não criptografado.
Manoel Netto
Não dá pra afirmar que o storage da senha é plain text, apenas que a Fon sabe como descobrir sua senha (isso se o e-mail do rapaz for legítimo, mas como qualquer um pode fazer o teste que ele diz ter feito, é fácil descobrir se ele está falando a verdade). O que pode acontecer é que a Fon armazena a senha criptografada sim, mas usar um algoritmo reversível. Quem tem a chave, consegue descobrir a senha. Se alguém invadir apenas o banco de dados e baixar as senhas, é mais difícil descobrir, mas se conseguirem acesso à chave de criptografia usada, já era.
RKNeto
Isso é um fail grande. Muito grande. Se o usuário usa a mesma senha pra vários sites, pode ser um desastre.
@AntonioVeras
As vezes, quando você quer esconder algo, o melhor é deixar bem à vista.
Gaba
É bem inseguro mesmo... Mesmo que a empresa criptografe a senha quando cadastrada, não deve ser criptografia de mão única, o que seria o correto e ocorreria o esperado: geraria uma nova combinação e a partir desta, modificar a senha ao logar-se...