Desenvolvedor acusa Fon de salvar senhas sem criptografia
Recentemente a Oi começou a oferecer no meu Rio de Janeiro um roteador específico que, quando conectado ao Oi Velox, libera parte da conexão para que as pessoas próximas e para que usuários de uma “rede social” própria possam utilizar a internet. A tal rede é a Fon, que ainda não tem presença tão forte no Brasil como se vê em outros países.
Essa mesma Fon está sob acusação de um desenvolvedor para web que afirma: eles utilizam texto puro (ou plain text, termo em inglês cuja tradução “oficial” eu confesso não saber), sem criptografia, para armazenar as senhas dos usuários.
Para fazer tal afirmativa, Peter Legierski, residente da Escócia, no Reino Unido, fez um teste muito simples. Ao tentar usar a Fon, percebeu que a sua senha não estava mais funcionando e solicitou uma senha nova pela ferramenta de “esqueci minha senha”. No entanto, ao receber a mensagem da Fon sobre o assunto, lá estava a senha dele no corpo do email.
Legierski diz que esperava receber uma nova combinação, a partir da qual ele faria o acesso ao site da Fon e registraria uma nova senha. No entanto, depois de perceber que o email chegou com a senha ali, para qualquer um ver, o desenvolvedor agora faz um apelo: que todos os usuários da Fon troquem suas senhas para senhas únicas – que não sejam repetidas em nenhum outro canto da rede – e utilizem aplicativos de gerenciamento de senhas.
No artigo dele há uma série de pessoas questionando se realmente a Fon mantém as senhas armazenadas sem qualquer tipo de criptografia. A discussão é boa e o questionamento é válido, visto que o desenvolvedor não apresenta nenhuma prova incontestável de que falta segurança nos servidores da Fon. Por outro lado, se for mesmo verdade, uma comunidade de 6 milhões de usuários estaria correndo perigo.
Estou à espera de uma resposta da Fon sobre o assunto. Assim que se pronunciarem, volto aqui para mais esclarecimentos.
Leia | Por que você não deve usar Wi-Fi público, segundo o FBI