Quando uma startup fecha as portas, o impacto sobre os funcionários vai muito além da perda do emprego. Recentemente, um pesquisador de segurança revelou que ex-funcionários, em questão de segurança de dados, dessas empresas estão especialmente vulneráveis ao roubo de dados pessoais, como mensagens privadas do Slack, números da Segurança Social (equivalente ao CPF nos EUA) e, possivelmente, contas bancárias. Este cenário ilustra uma preocupante brecha na segurança de dados, vinculada a domínios antigos e ao uso do “Login com Google”.
O que você verá nesse post
A Descoberta do Problema
O pesquisador que trouxe à tona esse problema foi Dylan Ayrey, cofundador e CEO da startup Truffle Security, apoiada pela Andreessen Horowitz. Ayrey também é conhecido por criar o TruffleHog, um projeto open source que monitora vazamentos de dados, como chaves de API, senhas e tokens. Sua relevância no mundo da segurança de dados aumentou após uma apresentação no ShmooCon, uma conferência de segurança, onde discutiu uma falha no Google OAuth — a tecnologia por trás do “Login com Google”.
Ao investigar, Ayrey descobriu que hackers podem comprar domínios antigos de startups falidas e utilizá-los para acessar softwares em nuvem que ainda permitem logins de funcionários dessas empresas. Isso inclui plataformas como Slack, Zoom e sistemas de recursos humanos (RH) que contêm informações sensíveis, expondo falhas na segurança de dados dessas plataformas.
Como Funciona o Ataque
Os ataques exploram domínios de startups encerradas. Hackers podem comprar esses domínios e usá-los para recriar endereços de e-mail antigos dos funcionários. Com esses e-mails, conseguem acessar aplicativos que suportam o “Login com Google”. Isso permite explorar diretórios internos, onde encontram mais e-mails de ex-funcionários e, potencialmente, dados confidenciais, comprometendo ainda mais a segurança de dados.
Durante seus testes, Ayrey comprou o domínio de uma startup falida e conseguiu acessar plataformas como ChatGPT, Notion, Slack e um sistema de RH que continha números da Segurança Social. Segundo ele, os dados armazenados em sistemas de RH são os mais visados, pois têm grande valor no mercado negro, mostrando como a segurança de dados é essencial nesses sistemas.
Por Que Startups São Mais Vulneráveis?
Startups são particularmente expostas a esse tipo de ataque porque dependem fortemente de softwares em nuvem e ferramentas da Google Workspace. Além disso, o encerramento de uma startup é um processo complexo e emocional, o que pode levar fundadores a negligenciar medidas importantes para garantir a segurança de dados ao desativar seus serviços.
Ayrey estima que milhares de ex-funcionários de startups estejam em risco, assim como milhões de contas de softwares SaaS (Software as a Service), destacando a necessidade de uma maior atenção à segurança de dados.
Como Prevenir o Problema?
Embora não haja uma solução perfeita, algumas medidas podem reduzir os riscos e melhorar a segurança de dados:
1. Uso de Sub-Identificadores do Google
O Google OAuth possui uma tecnologia chamada sub-identificador, que gera um código único para cada conta Google. Isso impede que hackers recriem e-mails antigos, mesmo que controlem o domínio da empresa. No entanto, essa tecnologia não é totalmente confiável e pode apresentar falhas que afetam a segurança de dados.
2. Encerramento Adequado de Serviços
O Google fornece orientações para que fundadores encerrem corretamente o Google Workspace ao fechar suas empresas. Essa medida inclui desativar e-mails e revogar acessos a todos os aplicativos conectados, melhorando a segurança de dados.
3. Conscientização e Monitoramento
Empresas podem realizar auditorias regulares para identificar aplicativos em nuvem que ainda possam estar conectados a contas inativas. Além disso, é essencial conscientizar funcionários e ex-funcionários sobre os riscos à segurança de dados e como se proteger.
Reação do Google
Inicialmente, o Google descartou o problema identificado por Ayrey, classificando-o como um caso de fraude, e não como uma falha em sua tecnologia. Contudo, após a apresentação do pesquisador no ShmooCon, o Google revisou sua posição, reabriu o caso e pagou uma recompensa de US$ 1.337 pelo relato.
Embora não tenha implementado uma solução técnica, o Google atualizou suas documentações, recomendando o uso de sub-identificadores por fornecedores de SaaS e orientando fundadores sobre boas práticas para encerrar suas empresas, com foco na segurança de dados.
FAQ – Perguntas Frequentes
1. Quem está em risco com esse tipo de vulnerabilidade?
Ex-funcionários de startups que utilizaram o Google Workspace e aplicativos em nuvem para gerenciar seus negócios estão entre os mais vulneráveis em termos de segurança de dados.
2. Hackers podem acessar contas pessoais do Google?
Não. Apenas contas relacionadas ao domínio corporativo da startup estão em risco, mas isso já compromete significativamente a segurança de dados.
3. Como startups podem evitar que isso aconteça?
Encerrando adequadamente todos os serviços em nuvem e desativando o Google Workspace ao fechar as portas, garantindo a segurança de dados corporativos.
4. Quais são os dados mais visados por hackers?
Dados em sistemas de RH, como números de Segurança Social, contas bancárias e informações pessoais, são os mais procurados, evidenciando falhas críticas na segurança de dados.
5. O que o Google está fazendo para resolver o problema?
Embora ainda não tenha implementado uma solução técnica, o Google atualizou suas recomendações para fornecedores de SaaS e fundadores de startups, enfatizando melhores práticas para a segurança de dados.
Conclusão
A vulnerabilidade explorada por Dylan Ayrey destaca a importância de um gerenciamento cuidadoso de serviços em nuvem, especialmente ao encerrar uma empresa. Startups devem adotar boas práticas desde o início para mitigar riscos e proteger a segurança de dados de seus funcionários e sistemas.
Ao mesmo tempo, fornecedores de software e o Google têm um papel crucial em aprimorar a segurança de dados e garantir que soluções como o Google OAuth sejam robustas contra ataques cibernéticos.
Leia também: Software Livre: O Que é, Vantagens, Desvantagens e Como Pode Transformar Seu Mundo Digital
