sexta-feira, 7 de março de 2014

Folha de S.Paulo: Brechas forçam start-ups a priorizar investimentos em segurança


JENNA WORTHAM
NICOLE PERLROTH

Companhias de tecnologia jovens têm uma longa lista de tarefas a serem cumpridas. Registrar usuários e arrecadar dinheiro geralmente são as que têm prioridade mais alta.

Muito mais abaixo na lista? Segurança de dados. Tal negligência recentemente voltou a assombrar novos aplicativos populares e serviços da web –além de seus usuários–, forçando-os a melhorar seus produtos depois que brechas foram descobertas.

No mês passado, o Tinder, popular app de relacionamentos, reconheceu falhas em seu software que permitia a hackers determinar a localização exata das pessoas que usavam o serviço. O site de financiamento coletivo Kickstarter também disse no mês passado que hackers haviam obtido acesso aos dados de seus usuários, incluindo senhas e números de telefone.

E apenas dois dias após a compra do WhatsApp pelo Facebook por US$ 19 bilhões, pesquisadores de segurança indicaram que –apesar de a companhia afirmar o contrário– a proteção dos dados dos 400 milhões de usuários do WhatsApp era frouxa.

"Há tanto foco em adquirir consumidores e oferecer produtos e serviços que a segurança não é prioridade", diz Tripp Jones, parceiro na August Capital, uma firma de capital de risco do Vale do Silício. Brincando, ele complementa: "Para muitas empresas, uma brecha de segurança seria quase um ótimo problema em alguns casos. Isso significa que elas têm usuários o suficiente para alguém se importar".
Jim Wilson/The New York Times 


Nico Sell, cofundadora do Wickr, serviço de
mensagens concorrente do Snapchat e do WhatsApp

Muitas das empresas, incluindo Tinder e Kickstarter, se apressaram para melhorar sua segurança geral depois das falhas. O Snapchat, serviço de mensagens efêmeras que ignorou repetidamente alertas sobre uma brecha que expôs milhões de nomes de usuários e números de telefone, eventualmente reconheceu o furo e contratou Peter Magnusson, chefe de engenharia no Google, para ajudar a melhorar os esforços da companhia em segurança. Mesmo assim, ao ganhar mais usuários, o Snapchat também atrai spammers, que usam o app para enviar anúncios e links maliciosos.

Jay Nancarrow, um porta-voz do Facebook, diz que uma das primeiras coisas que o Facebook planejou fazer depois de fechar o acordo com o WhatsApp foi conduzir um intenso exame de segurança no serviço de mensagens. "Sempre fazemos um balanço completo e compartilhamos recursos de segurança quando compramos uma companhia", disse. "Segurança é sempre uma prioridade para nós."

Apesar de companhias maiores e já estabelecidas como o Facebook geralmente possuírem equipes dedicadas a essa área, elas não são impermeáveis a vulnerabilidades. Elas, na verdade, são os maiores alvos. No fim de fevereiro, por exemplo, a Apple reconheceu uma falha em seu sistema operacional que permitia aos hackers se aproveitar de informações em e-mails e outras comunicações que deveriam ser criptografadas.

INFORMAÇÕES DE MAIS

Ainda assim, quando um novo serviço de celular decola, ele é normalmente mais vulnerável. Antes de uma grande brecha ser descoberta, os analistas dizem, empreendedores tecnológicos tomam possíveis riscos de segurança como uma troca por terem construído seu produto num ritmo acelerado. Requerimentos de senhas mais severas e criptografia rígida são deixados de lado, em favor de crescimento de usuários, conveniência e novos recursos.

E, em muitas maneiras, apps e serviços para celulares –que têm decolado mais rapidamente nos dias de hoje– enfrentam desafios de segurança diferentes daqueles que assolam tecnologias feitas para o computador pessoal. A informação em risco em dispositivos móveis é frequentemente mais pessoal, porque eles incluem coisas como apps de carteira digital, serviços de recomendação baseados em geolocalização e serviços de fotos e mensagens.

Autoridades governamentais dizem que a quantidade de dados fluindo pelas redes de algumas start-ups equivale à que eles mesmos podem coletar. O perigo, afirmam, é que as agências do governo não possuem jurisdição para protegê-las, ou até mesmo a habilidade de compartilhar informações secretas de ameaça com as empresas. Dessa forma, o ônus de proteger dados pessoais de cibercriminosos é responsabilidade apenas delas.

Aaron Grattafiori, um pesquisador de segurança na firma iSEC Partners, afirma que as start-ups podem nem sempre antecipar suas brechas potenciais. "Há muito mais informação num celular do que costumava haver."

E as start-ups estão pedindo uma quantidade cada vez maior de dados pessoais. A empresa de lingerie ThirdLove oferece um aplicativo para celulares que avalia o tamanho de um sutiã usando a câmera do iPhone. Depois de se registrarem, as usuárias tiram uma foto de seu torso, vestindo uma camisa justa sem manga, e a enviam para a companhia, que usa algoritmos de dimensão virtual para determinar o número da peça. Segundo Heidi Zak, cofundadora da ThirdLove, a empresa passou por extensivos balanços de segurança para proteger informações sensíveis e usa criptografia de alto nível.

"Ninguém nunca acessa essas fotos", diz ela. "A maioria das mulheres veste uma camisa sem manga e suas cabeças não aparecem." Zak se recusa a dizer quantas clientes a ThirdLove tem, mas conta que 85% delas já usaram o software gratuito oferecido pela empresa.

DESDE O BERÇO

Alguns empreendedores dizem que estão fazendo da segurança uma prioridade desde o início de seu investimento. Enquanto brechas se tornam mais comuns, segurança de alto nível pode ser uma ferramenta de marketing poderosa.

Depois da falha no Snapchat, por exemplo, o serviço concorrente Wickr, que usa criptografia segura e não armazena os dados de usuários em servidores, experienciou uma alta de 50% em cadastros. Também viu um aumento de 600% na semana passada após pesquisadores começarem a questionar a proteção oferecida pelo WhatsApp. "Do momento em que começamos a construir o Wickr, supomos que seríamos atacados pelos hackers mais avançados do mundo", diz a cofundadora do Wickr Nico Sell. "Hoje em dia, acho que toda companhia deveria fazer essa suposição."

O Wickr vai anunciar nesta semana que planeja licenciar seu software de encriptação para aplicativos como Snapchat e WhatsApp como parte de um modelo de negócios, em vez de lucrar em cima dos dados de usuários.

Mas frequentemente pesquisadores e analistas dizem que a abordagem dos criadores em relação à segurança ainda é simplesmente para rezar que sua empresa não seja hackeada, e para pedir perdão caso seja.

Robert Hansen, diretor de administração de produtos na WhiteHat Secutiry, uma empresa de segurança para páginas da web, diz que persuadir start-ups a investir em proteção geralmente pode parecer uma "conversa com a parede". "A maioria não entende, e as que entendem não querem ter", afirma. "É tudo questão de oportunidade de custo. Para cada dólar que gastam em segurança, eles acham que estão abandonando um novo recurso que poderiam torná-los destaque no Gawker."

Mas as start-ups que não priorizaram segurança de dados aprenderam da maneira mais difícil que as brechas também podem trazer publicidade –só que de um tipo não desejado.

Ashvin Kumar, chefe-executivo da Tophatter, um site de leilão em tempo real para celulares, se lembra de uma falha desastrosa que manchou a reputação de uma de suas empresas antigas, a Blippy, que deixava as pessoas publicarem suas transações de cartão de crédito on-line.

O serviço, que foi apresentado em 2010, chamou a atenção de investidores e adeptos num primeiro momento. Até que os usuários descobriram que alguns detalhes de seus cartões estavam aparecendo nos resultados de busca do Google. Kumar descreve o episódio como uma "ocorrência terrível", mas também reconhece um pouco de negligência no quesito proteção de usuários. "Não previmos que certos aspectos da informação que armazenávamos tinham dados pessoais identificáveis", conta.

Nenhum comentário:

Postar um comentário

deixe aqui seu comentário