“Dando um exemplo, quando corremos a app do Facebook no nosso smartphone pela primeira vez, esta pede para nos autenticarmos com o nosso login e password. Após essa autenticação, o Facebook gera uma chave de acesso que é guardada no dispositivo para evitar que tenhamos que nos autenticar constantemente, cada vez que abrirmos a aplicação. Foram estas chaves de acesso que foram comprometidas pelos hackers”, explica Nuno Loureiro, CEO da Probe.ly, a star-tup que desenvolve um produto que testa a segurança de aplicações web, desenvolvida na Bright Pixel.
Após este ataque, o Facebook invalidou essas chaves de acesso dos cerca de 90 milhões de utilizadores, obrigando os utilizadores afetados a efetuarem um novo login e a gerarem novas chaves de acesso. Ainda que não esteja no lado do utilizador resolver esta situação, existe um conjunto de boas práticas de segurança, que a Probe.ly aconselha a seguir:
1. Definir uma password forte e única para aquela rede: uma password longa e que use maiúsculas, minúsculas, dígitos e caracteres especiais, que seja usada apenas no serviço em questão. O ideal é mesmo usar um programa de gestão de passwords, como o 1password ou Lastpass, que gera e armazena as palavras-chave. Com este programa, é apenas necessário memorizar uma password forte, a que dá acesso às restantes.
2. Ligar a autenticação de dois fatores nas definições, secção “Segurança e início de sessão”. Desta forma, são precisos dois fatores para fazer a autenticação no Facebook: o primeiro é “uma coisa que eu sei” (password) e outro é “uma coisa que eu tenho” (o meu telemóvel, uma chave de segurança, uma app que gera códigos únicos tal como o Google Authenticator).
3. Usar um browser moderno: tal como o Chrome, que se deve manter atualizado, e adicionar os sites de serviços sensíveis aos “Favoritos”. Depois deste passo, usar sempre os “Favoritos” para aceder aos sites em questão, para evitarmos ataques de phishing. O uso de programas de gestão de password também pode evitar ataques de phishing, pois estes programas apenas preenchem as credenciais de acesso caso o site seja o correto.
Adicionalmente, para ter a certeza de que a conta não foi comprometida e acedida pelos hackers, os utilizadores podem verificar a lista de dispositivos autorizados, em que têm uma sessão iniciada. Para tal, basta ir às definições do Facebook, na secção “Segurança e início de sessão” e verificar a lista “Onde tens sessão iniciada”. Se lá constar um dispositivo ligado recentemente de uma localização estranha, é provável que a conta tenha sido comprometida.
O conteúdo Facebook é alvo de novo ataque aparece primeiro em i9 magazine.