O hacking do e-mail de Sarah Palin e as perguntas de segurança

Vários noticiários veicularam informações a respeito da invasão do e-mail de Sarah Palin, candidata republicana à vice-presidência dos Estados Unidos ao lado de John McCain. A conta de e-mail de Palin, que usava o serviço do Yahoo, foi comprometida na última quarta (17), conforme noticiou a agência AFP. [Leia o texto no G1]

Os criminosos conseguiram responder corretamente “pergunta de segurança” usada para resetar a senha. A resposta para a pergunta — “onde você encontrou seu esposo(a)?” — pôde ser encontrada pelo Google, visto que Palin é uma figura pública.

O ataque demonstra a vulnerabilidade destas “perguntas” de recuperação de senha. Embora internautas comuns não sejam tão populares quanto Palin a ponto de a resposta estar disponível no Google, redes sociais como o Orkut dão ao invasor a lista de amigos da pessoa. Uma vez contactados, estes amigos e conhecidos podem disponibilizar a informação necessária para descobrir a resposta secreta e permitir o acesso não-autorizado ao e-mail ou outros serviços da internet.

Pessoalmente, não utilizo este recurso há vários anos. Sempre preencho o campo da resposta — que é muitas vezes obrigatório — com alguma frase realmente longa, inventada na hora. Digito-a rapidamente para que a mesma acabe com erros gramaticais. Ou seja, eu mesmo não posso recuperar ou resetar a senha por meio da pergunta de segurança.

Para não esquecer as senhas, anoto-as em papel, como a Linha Defensiva recomenda desde 2005.

A Linha Defensiva não vai cobrir o caso da invasão do e-mail de Palin. Os noticiários não-especializados tem entrado no tema tão bem quanto os mais técnicos. Ainda assim, esta lição a respeito das perguntas secretas é importante e precisa ser publicada aqui no blog.