Vazamento de dados do Yahoo! levanta questões sobre redefinições de senha

Depois do vazamento em massa de senhas de contas do Yahoo!, a empresa passou a encorajar seus usuários a alterar senhas manualmente, em vez de implantar um reset automático de todas elas. Contudo, fazer com que usuários redefinam senhas de suas principais contas de e-mail não é tarefa fácil, disseram especialistas em segurança cibernética ao CIO Journal, do The Wall Street Journal.

Segundo informações do jornal The New York Times, depois do problema, a CEO do Yahoo!, Marissa Mayer “tinha rejeitado a medida mais básica de segurança: reposição automática de todas as senhas de usuários, etapa que especialistas em segurança consideram normal depois de uma violação”.

Em vez disso, na semana passada, o Yahoo! publicou um alerta para seus usuários potencialmente afetados pela violação solicitando que eles “mudassem imediatamente suas senhas”, bem como quaisquer perguntas e respostas de segurança utilizados para acessar suas contas. Mais de 500 milhões de contas foram hackeadas em 2014, incluindo nomes, endereços de e-mail, telefones e datas de nascimento.

Shuman Ghosemajumder, diretor de tecnologia da empresa de segurança on-line Forma Security, disse ao CIO Journal que o Yahoo! provavelmente enfrentou um dilema nos esforços para redefinir senhas de usuário na sequência da violação.

Segundo ele, o problema do mecanismo de redefinição de senha é que ele geralmente envolve o envio de um link para o endereço de e-mail registrado com essa conta. Mas, se a senha a ser alterada é na conta de e-mail principal, não há nenhuma maneira de aprovar ou verificar qualquer alteração. Assim, não há como resetar a senha. E o pior é que, muitas vezes, perguntas e respostas para redefinição de senha não resolvem o problema.

Billy Rios, ex-gerente do programa de segurança da Microsoft e fundador da startup de segurança Laconicly, alerta que não são apenas os dados de e-mail do Yahoo! que estão em risco. “Todos os serviços on-line que dependem de e-mail para redefinições de senha também estão em risco”, disse ele, citando mídias sociais e outras ferramentas baseadas na web de usuários afetados.