Sobre o vazamento das senhas de 183 milhões de contas do Gmail

Na mesma linha da pauta “celulares em que o WhatsApp deixará de funcionar”, sites de notícias brasileiros parecem ter descoberto uma nova fonte de cliques perene na editoria de tecnologia: milhões de senhas vazadas do Gmail.

Há, de fato, um banco de dados do tipo rolando na internet, criado por um estudante de graduação nos Estados Unidos. Troy Hunt, que administra o Have I Benn Pwnd, um repositório de vazamentos, analisou os dados e constatou que “apenas” 8% das senhas, cerca de 14 milhões, são novas. O que é compreensível, dado que o banco foi criado agregando dados de várias fontes e vazamentos anteriores.

A principal mensagem que uma notícia dessas passa não é “sua senha do Gmail pode ter vazado”, mas sim que “as suas senhas, qualquer uma delas, pode vazar a qualquer momento”. Não para fazer terrorismo, mas sim para ajudar na conscientização de boas práticas de segurança digital.

Quais? Para esse caso, duas básicas:

  1. Usar um gerenciador de senhas. Com ele, você terá acesso fácil à criação e recuperação (uso) de senhas fortes e diferentes para cada serviço.
  2. Autenticação em dois fatores (ou verificação em duas etapas). Pode até mesmo ser junto do gerenciador de senhas. Em cenários como um vazamento, o segundo fator bloqueia acessos não autorizados mesmo de alguém que saiba a sua senha.

É possível verificar se suas senhas vazaram jogando seu e-mail no Have I Been Pwned. Se ele aparecer, não há motivo para pânico: troque a senha e ative um segundo fator de autenticação. O Google explica como fazer isso no Gmail.

O sideloading é parte essencial do Android e não vai acabar. Nossos novos requisitos de identidade para desenvolvedores foram pensados para proteger usuários e criadores contra agentes mal-intencionados, não para restringir escolhas. Queremos garantir que, quando você baixar um app, ele realmente venha do desenvolvedor que afirma tê-lo publicado — independentemente da fonte. Desenvolvedores verificados terão a mesma liberdade de distribuir seus apps diretamente aos usuários via sideloading ou por qualquer loja de apps que preferirem.

Revisitando o meu modelo de segurança digital

Segurança digital é o que resulta do equilíbrio entre defesas e conveniência. De nada adianta blindar-se completamente se o acesso a seus espaços particulares é difícil; por outro lado, uma senha fácil de lembrar (123456, por exemplo) é quase o mesmo que não ter senha.

Este Manual sempre pendeu para o lado da blindagem, às vezes dificultando um bocado situações em que um desfecho ruim (invasão, perda/roubo de dados) é improvável. Em 2024, fiz uma correção de curso que prometi compartilhar. Cá está essa atualização.

(mais…)

A face do risco: o rosto como senha

Por falar em reconhecimento facial, ouvi com grande interesse o podcast O Assunto desta segunda (19), que trata do… assunto, e terminei a audição um pouco decepcionado.

Gostei da crítica que o Ronaldo Lemos, um dos entrevistados, fez à banalização do uso do rosto como senha. Quando a Natuza pediu dicas de prevenção contra golpes que exploram brechas do reconhecimento facial, a primeira que Ronaldo deu foi evitar expor seu rosto a esse sistema, o que é meio óbvio e, ao mesmo tempo, muito difícil em vários casos — um deles comentado pelo próprio Ronaldo minutos antes, que admitiu que quando precisa entrar em um prédio que exige reconhecimento facial, acaba cedendo.

As dicas de segurança do outro convidado, Álvaro Massad Martins, me pareceram meio anacrônicas, como “criar senhas com pelo menos dez caracteres” (que tal indicar gerenciadores de senhas e não se preocupar com isso?) e VPN para “navegar com segurança em redes públicas”, o que é dispensável com HTTPS onipresente e, de qualquer modo, está longe de ser uma panaceia.

Ao fim do podcast, continuei incomodado com a banalização e sem saber muito bem o que fazer. Dicas?

Print parcial da barra de endereços do Safari, mostrando a URL do Manual do Usuário sem o cadeado de segurança.
Adeus, cadeado do HTTPS! Imagem: Manual do Usuário.

Notou algo diferente na imagem acima? Desde o Safari 18.4, lançado no final de março, o navegador web da Apple não exibe mais o ícone do cadeado.

Só os deuses sabem quantas vezes cliquei naquele ícone — todas elas, sem querer, o que abria um popup chato no meio da tela. Detalhes da UI que aumentam a qualidade de vida 🙏

A justificativa do WebKit se desdobra em duas: 87% de todas as conexões já são feitas pelo HTTPS, ou seja, conexões seguras são o normal; e “a presença do [ícone do] cadeado poderia estar criando uma falsa sensação de segurança, se os usuários acreditassem que ele está lá para sinalizar que o site é confiável”. Dei esse alerta no já distante ano de 2018.

O Firefox, até a versão 138, pelo menos, ainda exibe o cadeado. O Chromium, base do Chrome, escondeu o ícone do cadeado em maio de 2023.

O criador do cURL, Daniel Stenberg, subiu barreiras contra a avalanche de relatórios de segurança produzidos por ou com a ajuda de inteligência artificial generativa. Além do volume, eles são inúteis: “Ainda não vimos um único relatório de segurança válido feito com a ajuda da IA.”

A maioria dos usos inadequados de IAs já era possível antes. O que muda com a IA é a escala da coisa.

End of 10: Troque o Windows 10 por uma distro Linux

O suporte ao Windows 10 termina no dia 14/10/2025, ou seja, daqui a alguns meses. Uma galera envolvida com distros Linux subiu o site End of 10 para ajudar aqueles que quiserem trocar o Windows pelo Linux em vez de seguir a orientação da Microsoft, que é descartar um computador funcional e comprar outro com Windows 11. O End of 10 reúne instruções e locais e eventos em que voluntários instalam uma distro Linux nos computadores de quem não tem familiaridade com o assunto.

Super iniciativa. Só falta agora traduzirmos o site para o português e cadastrarmos mais locais e eventos. (Até o momento, só tem um pessoal da USP de São Carlos na lista de locais.)

FBI: O perigo em usar conversores de arquivos online

Em abril de 2024, o WordPress 6.5 trouxe, entre outras novidades, suporte nativo ao formato de imagens *.avif.

Pessoas normais só se importam com formatos de arquivos de imagens quando topam com incompatibilidades — a Apple e seu *.heic para fotos tiradas com o iPhone é, acho, a maior força de ~conscientização nessa frente. Eu, que sou anormal, passei meses refletindo se as vantagens evidentes do *.avif se sobrepunham à universalidade de antecessores menos eficientes, como *.jpg e *.png.

Faz algumas semanas, decidi dar o salto e adotar o *.avif para (quase) todas as imagens deste Manual.

(mais…)

O problema do SafetyCore, app que “brotou” em celulares Android

Seu celular é Android? Se sim, é provável que tenha aparecido um novo app aí chamado SafetyCore. Anunciado pelo Google em outubro de 2024, a empresa expandiu sua disponibilidade por esses dias.

O SafetyCore se destina a dispositivos que rodam Android 9 ou posterior, ocupa ~2 GB do armazenamento e, segundo o Google, “fornece infraestrutura comum que apps podem usar para proteger os usuários de conteúdo indesejado”. Ainda segundo a documentação (somente em inglês), “a classificação do conteúdo roda exclusivamente no dispositivo e os resultados não são compartilhados com o Google”.

Quase ninguém lê avisos, alertas, quiçá a documentação de um app ou sistema operacional. O que não passa batido é um novo ícone entre os apps do celular que “brota” da noite para o dia. O SafetyCore é motivo para preocupação?

(mais…)