Menu de Cima

Risco no Linkedin

linkedin-risco-cibersegurançaO Linkedin está sob ataque. Não exatamente por um DDoS (ao menos por enquanto), mas é um bombardeio de comentários negativos sobre seu novo “produto”: uma extensão para o cliente de email do iOS chamada Intro, conforme designação de Martin Kleppmann, o engenheiro de software chefe da companhia.

A maior crítica: riscos para a segurança do usuário. Kleppmann está entusiasmado com o que sua equipe conseguiu trabalhando sobre iOS, e que parecia impossível, segundo ele: implantação de uma extensão para o cliente de email do iOS, interatividade, conteúdo dinâmico e instalação fácil.

O truque do Intro é o seguinte: ao enviar ou receber email, ele insere no cabeçalho da mensagem uma barra com uma dica sobre o perfil do autor da mensagem no Linkedin. Para o pessoal do Linkedin, é show. Só que para fazer esse truque existe um proxy que recebe id e senha do usuário na implantação da app, depois abre a mensagem, insere novos dados e finalmente a envia para o destinatário. O Linkedin jura de pés juntos e por escrito que os dados estão seguros, que a senha do usuário só permanece por no máximo duas horas no proxy (para instalação) e assim por diante. Mas quem garante? Não esqueçamos que no dia 5 de junho do ano passado o Linkedin foi invadido por cibercriminosos de origem russa, que copiaram 6,5 milhões de usernames e de senhas (criptografadas).Todos têm boa intenção, é claro, mas não há como desconfiar da possibilidade de uma falha, uma vulnerabilidade num script qualquer, que alguém vai descobrir, um dia.

Ou o proxy pode ser atacado, pode ser hackaeado para produzir milhões de “man in the middle”, ou coisas piores. Será também outro ponto de observação de governos (ou do governo americano). A propósito, em setembro o Linkedin entrou com uma ação na justiça americana para tornar ilegal o silêncio no recebimento de “National Security Letters”, cartas enviadas por órgãos do governo exigindo informações sobre a atividade de pessoas. Quem recebe uma carta dessas sequer tem o direito de informar que a recebeu.

Mas não é só isso: correspondências em emails podem ser utilizadas como prova em processos, desde que não tenham sido alteradas. Como a Justiça verá isso a partir de agora? Para piorar, se alguém usa criptografia ela será quebrada, inutilizada.

Diante de tantas dúvidas, melhor esperar antes de usar o Intro.

0Shares