——————————————————————

Olá.

Assim como devido e informado, estamos divulgando nota sobre o ocorrido em 20/03/2009. Aguardamos este momento para divulgá-la pois já podemos esclarecer algumas questões.

O QUE É FATO
– De acordo com os dados constantes no arquivo disponibilizado, por volta do dia 20/01/09 foi utilizada uma falha de segurança do MeAdiciona para enviar ao servidor um arquivo que permitiu acessar e copiar parte dos dados de nossa base principal. Até ontem, não havíamos recebido nenhuma notificação sobre o ocorrido.

– Os dados copiados incluem: Nome, E-mail, Data de Cadastro, Usuário, Senha (encriptada), Descrição e a listagem dos serviços que você divulga em seu perfil. Destes, apesar da senha de acesso ao MeAdiciona, nenhuma outra informação extremamente confidencial foi copiada.

– Sua senha fica armazenada de forma encriptada por MD5, somente podendo ser revertida por comparação, ou seja, seria necessário que o criminoso comparasse todas as senhas dos usuários do MeAdiciona com bancos de senhas on-line. Mesmo assim, somente senhas “fracas” e “comuns” seriam facilmente descobertas.

– O MeAdiciona, diferentemente de outras ferramentas, NÃO ARMAZENA senhas dos seus outros perfis, somente o endereço deles.

– O criminoso em posse da cópia dos dados, esperou o momento em que estivéssemos em evidência, para tentar prejudicar-nos, disponibilizando o arquivo para download e enviando mensagens (“invadiram o @meadiciona_ e colocaram a base na internet…”) via Twitter de outros usuários (aproximandamente 70).

– Havia uma falha pública do Twitter – http://migre.me/bLb – que fazia com que usuários postassem mensagens indesejadas em seu Twitter apenas clicando num link.

– Alguns dos usuários que postaram tal mensagem sobre o MeAdiciona, realmente nos informaram que clicaram em um link desconhecido enquanto estavam logadas no Twitter.

– Até o momento não recebemos notificação de que qualquer outro perfil ou ferramenta, além destes 70 usuários do Twitter, tenham sido “invadidos” ou “sequestrados”.

– Verificamos que várias pessoas que publicaram esta mensagem no Twitter nunca foram usuários do MeAdiciona, ou seja, nosso banco de dados NUNCA teve qualquer senha delas, mesmo que encriptada. Além disso, várias outras informaram que as senhas dos dois serviços não eram iguais.

– Durante este dois meses em que o criminoso possui o cópia dos dados em mãos, não recebemos NENHUM aviso de alteração em perfil do MeAdiciona que não tenham sido feitas pelo próprio usuário.

– Mesmo com todas estas informações e evidências, incentivamos a troca de senha do Twitter caso ela seja igual a senha utilizada no MeAdiciona, pois assim afastamos qualquer possibilidade de má utilização.

O QUE AINDA É ESPECULAÇÃO
– Até o momento ninguém mostrou e nenhum usuário do Twitter informou que teve sua conta efetivamente sequestrada. Usuários com mais de 5.000 seguidores, postaram somente uma mensagem, NADA MAIS foi feito em sua conta.

– Se alguém teve acesso à senha do usuário no MeAdiciona, fez o processo de comparação para desencriptação de senha, testou a senha e conseguiu acessar o Twitter deste usuário, não seria lógico fazer somente um post divulgando uma falha do MeAdiciona.

– Ainda não conseguimos determinar o motivo dos posts terem sido feitos em ordem alfabética.

CONCLUSÃO
Está claro que houve uma falha no MeAdiciona em janeiro deste ano, e que foi solucionada em seguida, com a publicação de nossa versão atual. A base de dados que foi colocada para download é realmente uma parte de nossa base antiga.

Por outro lado, fica comprovado que ao mesmo tempo em que as postagens foram feitas, o Twitter apresentava uma falha de segurança que permitia publicar mensagens passando-se por outra pessoa. Segundo sites de notícias (http://migre.me/bTH), na última semana mais de 750 perfis foram hackeados através de vulnerabilidade no sistema.

Acreditamos que diante dos fatos, algum criminoso, dispondo de parte de nossa base de dados antiga, tentou prejudicar nossa imagem, utilizando-se de uma falha ocorrida em nossa ferramenta em janeiro e de uma falha atual e pública do Twitter. Não está comprovado que as senhas do MeAdiciona foram utilizadas para acessar o perfil no Twitter, muito menos que os perfis foram sequestrados, assim como divulgado anteriormente.

Somos um serviço pequeno e novo. Mesmo assim, prezamos pela segurança de nossos usuários e pela transparência em nossos serviços e ações.

Da mesma forma que ocorreu com a notícia sobre a disponibilização de nosso banco, por favor, ajude-nos a repassar esta mensagem aos seus contatos.

Agradecemos a atenção e permanecemos à disposição.

Equipe MeAdiciona

Fato 2: Se você tiver as senhas em md5 + 2 neurônios + conexão você pode utilizar o google para ver se encontra um possível equivalente ao MD5 (somente se a senha for muito… estúpida). Muitos sites publicam listas de MD5 de palavras simples. exemplo.

Fato 3: O fato 2 acima pode ser facilmente corrigido se o pessoal do MeAdiciona tiver feito do jeito correto. A senha não é armazenada puramente como o usuário digita, ela é juntava com uma “segunda senha” fazendo ser o md5 de “minha_senha+senha_do_meadiciona” e fazer sempre a comparação utilizando a junção, isso é MUITO simples porém infelizmente a maioria das pessoas não pensam nisso.

Fato 4: Não utilize a mesma senha em vários serviços.

não sou muito bom de conta de cabeça, mas se no inicio do big bang você tentasse criar um banco de dados MD5, gerando 1.000.000.000.000.000.000.000.000 senhas por segundo, hoje você teria terminado seu banco de dados possivelmente com todas as senhas em MD5 e suas respectivas senhas “descriptografadas”

Moleza descriptografar MD5… quem topa começar?