O estado de confinamento doméstico no Brasil alavancou os downloads de ferramentas de videoconferência como Zoom e Houseparty.
Na segunda (30), esse último –que bateu a marca de aplicativo mais baixado na loja da Apple– virou assunto por motivos pouco lisonjeiros: relatos de usuários acusando vazamento de dados e acesso a contas de outros sites e aplicativos, como Spotify e Netflix, além da utilização do Uber.
Até o sumiço de dinheiro em contas-correntes apareceram entre os relatos.
No Twitter, a empresa correu para garantir que todas as contas eram seguras e que não havia qualquer indicativo de comprometimento ou coleta de senhas de outros sites.
Nesta terça (31), a empresa informou, novamente por meio da rede social, investigar a suspeita de que os rumores de hacking tenham sido espalhados por uma “campanha de difamação paga para prejudicar o Houseparty”.
A primeira pessoa que conseguir provar a existência da campanha receberá recompensa de US$ 1 milhão.
O app, que é controlado pela Epic Games, criadora do jogo Fortnite, bateu 2 milhões de downloads em uma semana em todo o mundo.
Em poucas horas, usuários do Twitter já ensinavam a desinstalar o aplicativo e encerrar a conta, procedimento que, supostamente, daria maior segurança aos dados.
Os relatos de vazamento de dados e o acesso por hackers a outros aplicativos instalados nos celulares também circularam em grupos de WhatsApp.
Especialistas em segurança da informação afirmam que as permissões solicitadas pelo aplicativo para a instalação (como acesso a microfone, câmera e contatos) estão dentro do aceitável a esse tipo de produto.
É preciso, no entanto, redobrar a atenção nesse novo contexto de trabalho remoto. Agentes mal intencionados sabem que as pessoas estão sem a segurança da rede corporativa e que as casas estão mais conectadas durante a quarentena.
"Com o aumento da quantidade de trabalho remoto é possível que as pessoas não estejam atentas ao aumento da possibilidade de phishing, aqueles ataques por emails que roubam nossas credenciais", diz Igor Rincon, especialista em segurança da informação.
Algumas hipóteses sobre o caso do Houseparty estão sendo levantadas: possibilidade de um ataque coordenado a usuários do app a partir de vulnerabilidades de sistemas operacionais de celular; falhas de segurança dos próprios usuários que, por coincidência, usam o aplicativo; ou uma campanha de phishing por SMS.
A última alternativa faz sentido para analistas porque o cadastro no Houseparty exige um número de telefone para o envio de SMS com um código de confirmação (método comum em diversos aplicativos). Essa mensagem chega em nome do Houseparty.
"O que acontece é que mensagens SMS são enviadas por empresas terceirizadas (SMS brokers). Um criminoso pode ter comprado disparos de SMS da mesma empresa e feito sua campanha de phishing, levando usuários a cair e os fazendo crer que se tratava do aplicativo [tentando roubar dados]", diz Fernando Amatte, diretor de ciberinteligência na Cipher.
As recomendações de segurança em videochamadas são, em parte, as mesmas que devem ser seguidas no uso de redes sociais.
"É ideal entrar nas configurações desses aplicativos de reunião e verificar a quais aplicativos eles têm acesso", diz Denis Riviello, especialista da Compugraf.
Os analistas elencaram as dicas que consideram principais para usar os aplicativos de forma segura. A orientação primordial é: mexa, sem medo, nas configurações do seu celular e dos apps que instala nele.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.