Se a porta está trancada, é só pular a janela. Essa ideia resume as ações do grupo de entusiastas CynoSure Prime (CSP) que conseguiu encontrar um (ou mais um) buraco na segurança do site de traição Ashley Madison e desenvolver um meio rápido para quebrar até 15,2 milhões de senhas do site, segundo uma publicação do grupo nesta quinta-feira (10).

O site de relacionamento Ashley Madison, divulgado como um portal para facilitar encontros casuais entre pessoas comprometidas, foi alvo de um ataque resultou no vazamento do banco de dados e códigos de programação do site, bem como e-mails do diretor-executivo da Avid Life Media, dona do portal.

A boa notícia, até esta quinta-feira, era a de que as senhas dos usuários do site estavam bem protegidas, porque a Avid Life Media adotou a tecnologia segura bcrypt para armazená-las. Com essa tecnologia é preciso um ataque de tentativa e erro em cada conta, com cálculos complexos para retardar cada tentativa.

Mas o CSP detectou a presença de uma segunda chave no banco de dados que parecia ser gerada com outra tecnologia, a MD5. Desenvolvida em 1992 e mais voltada para eficiência do que segurança, a fórmula do MD5 pode ser quebrada com certa rapidez em um computador moderno preparado para essa função.

Se apenas o banco de dados do site tivesse sido vazado, o conteúdo dessa chave MD5 permaneceria um mistério. No entanto, como código-fonte de programação da página também vazou, o CynoSure Prime conseguiu ver como essa chave era formada e descobriu que ela contém, junto de outras informações, a senha dos usuários. E o que é pior: uma senha convertida para letras minúsculas.

Como todas as informações para gerar essa chave estão no banco de dados, a questão se resume a uma tentativa e erro na senha em MD5 e letras minúsculas - que é muito mais rápida que a do bcrypt.

Depois de descobrir a senha em versão minúscula, basta tentar alterar as letras para maiúscula e formar combinações aplicando a fórmula mais lenta, a do bcrypt, até descobrir a senha final. Por exemplo, se a senha descoberta é "senha", basta tentar "Senha, "SEnha", "seNha", e assim por adiante, até que o resultado bcrypt seja idêntico ao que está no banco de dados.

O problema afeta 15,2 milhões de contas, menos da metade dos usuários expostos pelo banco de dados, que tem 36 milhões de registros. Os programadores da Avid Life Media perceberam a fragilidade em 2012 e alteraram o código, colocando dentro da chave MD5 a senha já codificada com bcrypt, o que torna o ataque inviável nessas contas.

Das 15,2 milhões de contas, o grupo diz já ter descoberto as senhas de 11 milhões de usuários em cerca de 10 dias. No bcrypt, o ataque deveria levar anos, décadas ou até séculos.

Quem tem cadastro no site Ashley Madison deve agora imediatamente trocar a senha no portal e em qualquer outro serviço onde a mesma senha foi usada. O grupo CynoSure Prime não divulgou as senhas descobertas, mas, como o método já é público, é questão de tempo para que o ataque seja replicado por outros grupos, mesmo que as senhas não sejam expostas.

Foto: Reprodução/G1

Fonte: G1