Em 2014 vimos bons filmes e séries e tivemos alguns ótimos lançamentos de smartphones. Mas o ano também foi “bom” para as falhas de segurança, que até diminuíram em quantidade, mas aumentaram consideravelmente em “qualidade” – vide o número de vítimas em potencial de um Heartbleed ou de um vazamento do Kickstarter, por exemplo. Listamos a seguir, então, 17 das maiores brechas do ano, que incluem as duas já mencionadas e outras quinze igualmente graves. Ainda deixamos de fora algumas das várias vulnerabilidades descobertas no WordPress e a falha no sistema brasileiro de aluguel de bikes – mas estes ficam como menções “honrosas”. Confira a lista a seguir 

Considerada por muitos a brecha mais grave do ano, o Heartbleed afetou dois terços dos servidores conectados a web – inclusive o de empresas enormes, como a Valve, do Steam, e o Yahoo!. O problema estava ligado a uma função da biblioteca de criptografia OpenSSL, a responsável por colocar o S no HTTPS de diversas páginas. Chamada de Heartbeat, a extensão servia para manter ativa a conexão segura entre cliente e servidor e foi incluída na versão 1.0.0 do software – há mais de dois anos. Pela brecha, invasores podiam “pescar” até 64 Kb de dados aleatórios, que podiam incluir até mesmo chaves mestras para decifrar o tráfego de dados protegido. E o Heartbleed não foi o único problema a atingir algo ligado ao SSL. No meio de outubro, pesquisadores descobriram o POODLE (PDF), sigla para “Padding Oracle On Downgraded Legacy Encryption”. Apesar do nome engraçadinho, a brecha (que afetava o protocolo SSL até a versão 3, ainda amplamente suportado) era séria, e os ataques permitiam a interceptação e a extração de dados de uma conexão aparentemente protegida por HTTPS.

A vulnerabilidade no GNU Bash dos sistemas baseados em Unix chegou a ser comparada ao Heartbleed em termos de gravidade – e com razão. Empresas responsáveis pelas principais distribuições de SO foram rápidas em disponibilizar correções para a brecha, mas a preocupação ainda continua. Varreduras feitas durante o ápice do bug ainda revelaram milhões de alvos em potencial, e muito graças às dificuldades em atualizar plataformas como roteadores, lâmpadas e tantas outras que também são baseadas em Unix. O problema, aliás, permitia a execução de códigos no momento em que o interpretador de comandos era invocado – ou seja, quase sempre, visto que há diversas aplicações que dependem dele.

Em outubro, especialistas da empresa iSight Partners anunciaram a descoberta de uma enorme campanha de ciberespionagem, orquestrada por uma equipe batizada de Sandworm Team. Os ataques virtuais começaram, aparentemente, em 2009, e tiveram como alvos alguns governos europeus e a Organização do Tratado do Atlântico Norte (OTAN). Nas invasões, os hackers conseguiam executar códigos remotamente, e tudo graças a uma brecha presente em todas as versões do Windows a partir do Vista, incluindo o Server.

Atacado por norte-coreanos (como acusou o FBI), o estúdio parou por dias e sofreu com vazamentos de filmes, roteiros e, mais do que tudo, informações sensíveis (como um documento cheio de senhas protegido por uma senha “Password”). Mensagens divulgadas na web pelos hackers do grupo denominado “Guardians of Peace” mostraram o pior lado de executivos da empresa, que ofendiam por e-mail atores da casa e até Barack Obama. O ataque foi supostamente motivado pelo filme “A Entrevista”, que fazia piadas com o ditador da Coreia do Norte. O longa-metragem teve o lançamento cancelado, e os invasores disseram que, com isso, iriam parar com os vazamentos – justamente o que a Sony Pictures queria. Mas isso não significa que mais notícias relacionadas ao caso irão parar.

2014 não foi um bom ano para o Snapchat, que já começou janeiro com o pé esquerdo: no primeiro dia do mês, dados de 4,6 milhões de usuários, incluindo números de telefones, foram vazados. A empresa teve que pedir desculpas e prometer melhoras na segurança, mas em maio já foi alvo de críticas novamente por não apagar as fotos de verdade, como prometia. Em outubro, por fim, 13 GB de fotos de usuários foram divulgadas na web. Mas desta vez, não por culpa do Snapchat: os responsáveis pelo deslize foram os donos de um serviço terceirizado, que permitia salvar imagens compartilhadas pelo app.

Falando em vazamentos de fotos, um ainda mais grave envolveu uma série de celebridades, entre modelos, cantoras e atrizes, como Jennifer Lawrence. Apelidado de Fappening, o caso se estendeu do fim de agosto até outubro, pelo menos, e teve seu epicentro no 4Chan, onde foram publicadas boa parte das imagens. Os arquivos saíram especialmente do iCloud, e foi cogitado até que uma brecha no serviço de armazenamento na nuvem tivesse servido como porta de entrada para os invasores. Falhas foram negadas pela Apple, mas a empresa ainda assim correu para fazer correções no sistema e até adicionar novos recursos de segurança, como autenticação em dois passos.

Empresas de segurança também sofrem com ataques neste ano. Apesar de ser uma quase ilustre desconhecida do público, a Gamma International é responsável pelo desenvolvimento de algumas das mais perturbadoras ferramentas de espionagem e vigilância em massa – vendidas inclusive a governos. A invasão foi feita por um hacker que se identificou como Phineas Fisher, e fez com pelo menos 40 GB de dados da empresa fossem vazados – o que inclui códigos-fontes de spyware, informações sobre o “kit de espionagem” FinFisher (ou FinSpy) e diversos outros dados financeiros.

O eBay foi outra vítima de um ataque monstruoso neste ano. A quebra de segurança, ocorrida em maio, comprometeu um banco de dados cheio de senhas criptografadas, o que obrigou a empresa a pedir que todos os seus 112 milhões de usuários as trocassem. Dados pessoais, como e-mails, endereços de entrega e telefones, também foram vazados, mas ao menos informações financeiras foram poupadas.

Órgãos do governo dos EUA foram alvos de ataques no decorrer de todo o ano. Em agosto, por um exemplo, uma invasão revelou dados sensíveis de 25 mil funcionários da US Investigations Servies, empresa contratada pelos norte-americanos para “investigar” as fichas de contratados pelo governo. Entre as vítimas que tiveram os dados expostos, estão agentes que trabalhavam disfarçados e outros funcionários do Departamento de Segurança Nacional (o DHS) do país. Posteriormente, os sistemas de e-mails não sigilosos do Departamento de Estado norte-americano foram alvos de um ciberataque – e isso pouco depois de ataques atingirem a Casa Branca, o Escritório de Administração Pessoal, os correios do país e a Administração Oceânica e Atmosférica Nacional (NOAA).

Aqui no Brasil, hackers do grupo Anonymous conseguiram acesso ao sistema de e-mails do Itamaraty, em um ataque que resultou no vazamento de quase 500 documentos – inclusive alguns classificados como “secretos”, mas de veracidade não reconhecida. O ataque foi baseado em um esquema de phishing, pelo qual os invasores conseguiram instalar trojans nos computadores e, por eles, obter os dados sigilosos.

A gigante varejista norte-americana Home Depot foi vítima de um golpe similar ao que atingiu a Target entre este e o último ano. Um malware instalado em seus sistemas desde abril foi responsável por comprometer os dados de pelo menos 56 milhões de cartões de crédito e débito usados por clientes da loja, segundo a CBS. Em setembro, a estimativa era de que os prejuízos chegassem à casa dos 3 bilhões de dólares.

Cerca de 4 mil senhas criptografadas e 76 mil e-mails de usuários ficaram expostos por um mês após uma falha no banco de dados da Rede de Desenvolvedores da Mozilla, a MDN. A notícia foi confirmada pela empresa em um post no próprio blog de segurança, no qual ainda informa que a brecha ficou aberta por 30 dias a partir de 23 de junho. Nenhuma atividade maliciosa foi detectada, no entanto – mas o número de dados vazados ainda assim assusta.

Nem só o Snapchat sofreu no começo do ano. Em fevereiro, o site de financiamento coletivo Kickstarter confirmou que foi vítima de uma quebra de segurança. Dados de cartões não foram roubados (como aconteceu no caso da Home Depot), mas dados pessoais e senhas criptografadas sim. O caso não foi extremamente grave graças a este último detalhe e à ação rápida do site, mas o número de vítimas em potencial (6 milhões de usuários cadastrados) não deixou de chamar a atenção.

O ano também serviu para mostrar que a segurança dos dispositivos USB está quebrada há tempos. Ou pelo menos foi isso que disseram pesquisadores do SR Labs, responsáveis por desenvolver um malware chamado BadUSB. O vírus afeta o controlador (firmware) de pen drives e outros acessórios do tipo, e não fica na memória flash – o que o torna quase impossível de ser detectado, ainda mais por um antivírus comum. Quando os dispositivos infectados são conectados a um computador, dão ao atacante a capacidade de tomá-lo por completo, emulando até comandos de teclado e mouse, por exemplo. Os dois responsáveis por descobrir o problema não chegaram a divulgar o código do malware, mas outros especialistas revelaram o de um similar.

Mais recentemente, em novembro, pesquisadores da Symantec descobriram um malware curiosamente preocupante. Apelidado de Regin, o vírus foi desenvolvido por um país desconhecido e era extremamente sofisticado. Ligado a um “quadro poderoso de vigilância em massa”, ele foi usado em operações de ciberespionagem entre 2008 e 2014, de acordo com o relatório. As vítimas principais estavam na Rússia e na Arábia Saudita, mas casos também foram detectados no México, na Irlanda, na Índia e no Afeganistão. China e EUA, no entanto, não foram afetados – o que fez com que as suspeitas caíssem sobre ambos.

Comprado pelo Facebook e muito popular, o WhatsApp não escapou de cometer um deslize grave na segurança. Em março, um consultor de segurança revelou que o aplicativo dava a outros apps acesso quase livre ao histórico de mensagens dos usuários – e basicamente porque os backups não eram muito bem criptografados. O risco maior envolvia programas mal-intencionados, que poderiam pedir acesso aos dados na hora da instalação. Usuários mais desatentos aceitariam o pedido e “nem perceberiam que seu banco de dados do WhatsApp foi acessado”, segundo o consultor.

Se o CryptoLocker fez estrago em 2013, seus sucessores foram os protagonistas de 2014 no campo dos ransomware, os malware sequestradores. Março viu o surgimento do BitCrypt2, que cobrava o resgate em bitcoins e mirava também brasileiros, enquanto em junho tivemos o Simplocker, que criptografava arquivos em um cartão SD e focava em Androids. Nem mesmo usuários do iOS escaparam de um ataque que seguia a linha de um ransomware (mas não era exatamente um vírus), em meados de maio deste ano.