Para além dos dados privados de visitantes de um dos monumentos mais concorridos de Espanha, também foi filtrada informação pertencente a uma grande quantidade de agências de viagens
Um dos mais importantes monumentos de Espanha e que recebe centenas de milhares de visitantes por ano, Alhambra de Granada, esteve recentemente envolvido num incidente de segurança que afeta milhões de visitantes, como consequência da filtração de dados pessoais e privados. Como se não bastasse, os dados de centenas de agências de viagens, responsáveis pela gestão e aquisição de entradas para os seus clientes foram também expostos.
Resumo do incidente
A notícia saltou para os meios de comunicação no passado dia 22 de maio, quando um artigo publicado pelo El Confidencial indicava que dados privados com os números de contas correntes, passwords, nomes, apelidos, números de telemóvel, e-mail ou endereço postal dos visitantes e agências de viagens foram comprometidos.
O problema estava no site oficial de compra de tickets, que acabou por ser vulnerável a três tipos diferentes de SQL injections. Este problema foi descoberto por um grupo hacktivista La 9 de Anon, que já se comprometeu em dar mais detalhes técnicos quando possível sobre a forma como foram descobertas estas falhas de segurança que permitiram chegar a dados de vários milhões de visitantes.
O desenvolvimento deste site e muitos outros que são responsáveis pela venda de entradas em vários monumentos e museus espanhóis está a cargo da empresa Hiberus. Perante várias tentativas de contato, a empresa resolveu emitir um comunicado oficial para explicar a sua versão dos factos.
Contramedidas a adotar
Embora não se saiba se, antes da publicação desta lacuna de segurança, houve um acesso a esta importante quantidade de dados, é prudente adotar medidas preventivas se tivermos adquirido entradas para visitar Alhambra nos últimos meses ou anos.
Perante situações como estas devemos estar atentos e vigiar contas de e-mails supostamente relacionadas. Caso receba um aviso por e-mail sobre o incidente, é importante certificar-se de que se trata de um e-mail legítimo antes de fornecer qualquer informação ou clicar algum link. Para além disso, se a password que usa para se registar no site de venda de entradas for a mesma que utiliza em outros serviços on-line, é aconselhável alterar a mesma para evitar possíveis invasões aproveitando os dados que podem ter sido roubados. Embora possa parecer que não houve acesso aos dados dos seus cartões bancários, é bastante aconselhável monitorizar com frequência os movimentos nas nossas contas correntes e notificar aas suas entidades bancárias caso detete algo suspeito. Esta recomendação é especialmente importante para as agências de viagens que gerem a compra de tickets para vários museus ou monumentos para os seus clientes.
Conclusão
Incidentes de segurança como o que acabámos de ver servem para recordarmos a importância de gerir as nossas credenciais e outros dados privados com segurança. Atualmente é muito recomendável ativar, sempre que possível, o duplo fator de autenticação e assim dificultar o acesso às nossas contas online. Contudo, se recordar dezenas de passwords não é fácil, é sempre possível utilizar um gestor de passwords. O gestor de passwords é uma ferramenta que torna a vida um pouco mais fácil, bastando recordar a password mestra e deixando que o gestor se encarregue de preencher os campos com as credenciais solicitadas ou simplesmente servir como ferramenta de armazenamento relativamente segura.
