Ativo institucional, uso pessoal

O final de semana foi animado. Alguns vazamentos coletados pelo nosso monitoramento avançado persistente são exemplos de uma prática recorrente por parte dos usuários, o uso de um ativo institucional (conta de e-mail) para fins pessoais.

Nos dois exemplos indicados a seguir servidores de entidades públicas brasileiras utilizaram o seu e-mail corporativo para realizar cadastro em sites privados: uma consultoria de gestão de pessoas brasileira e um broker de criptomoedas búlgaro.

Vazamento de usuários e senha de empresa brasileira

As senhas foram sanitizadas para minimizar os eventuais prejuízos das vítimas do vazamento (1.200 contas no total), uma vez que no caso do broker a senha de acesso ao serviço pode ser a mesma para transação de criptomoedas.

Vazamento de usuários e senha de broker de criptomoedas búlgaro

Em ambos os casos houve o vazamento de senhas em texto claro, o que combinado com uso reiterado da mesma senha para diferentes serviços pode representar uma vulnerabilidade para o próprio serviço de correio eletrônico da instituição pública indevidamente utilizado.

Além do risco associado à reutilização de senhas pelos próprios usuários, deve-se observar que vazamentos dessa natureza revelam preferências pessoais das vítimas do vazamento. O fato de um usuário possuir criptomoedas, por exemplo, é uma informação preciosa para um atacante persistente que pretende elaborar um spear phishing como forma de obter acesso a uma rede de governo de seu interesse.

Conclusão

O uso de ativo institucional para fins pessoais deve ser desencorajado por meio de campanhas de conscientização e por política de segurança da informação de órgãos públicos e entidades privadas.

Para além dessas importantes ações educativas, é indispensável uma atuação pró-ativa que vise mitigar vulnerabilidades (como vazamento de senhas) para garantir a segurança dos usuários e dos ativos da rede.