Contas inativas e não mantidas representam riscos significativos à segurança, para usuários e empresas, já que cibercriminosos usam informações roubadas de contas esquecidas ou não mantidas para golpes, fraudes e ataques. O alerta consta do “Relatório de Tendências de Identidade do Cliente” da Okta, que pesquisou mais de 20 mil consumidores em 14 países sobre suas experiências online e atitudes em relação à segurança e identidade digital.
O estudo diz que o grande volume de identidades criadas pode desencadear riscos significativos à segurança, com a apropriação de contas em larga escala (account takeover – ATO), principalmente se a conta não é usada há anos e o usuário reutilizar — ou apenas alterar levemente — sua senha e não realizar análises de segurança. A violação de qualquer serviço pode fornecer um operador de ameaça com um grande volume de credenciais de usuário e dados pessoais associados, que usará essas informações em escala para comprometer contas ativas, incluindo contas bancárias e redes comerciais importantes.
O relatório é divulgado logo depois de o Google anunciar que está atualizando sua política de “inatividade para contas” para dois anos, o que significa que, se uma conta pessoal não for usada ou conectada por ao menos dois anos, poderá ser excluída, bem como o seu conteúdo. Isso inclui conteúdo no Google Workspace (Gmail, Docs, Drive, Meet, Calendar) e Google Photos, com as novas regras entrando em vigor antes de dezembro deste ano, disse a empresa.
O grande volume de novas contas criadas gera alta rotatividade de contas — um conceito de expansão em que contas mais novas “aposentam” outras, sem adicioná-las à coleção de contas ativas de um usuário. As contas mais antigas não são excluídas e muitas vezes ficam sem uso e esquecidas, às vezes, por anos. Essa proliferação de contas é mais predominante entre usuários mais jovens, mas também é significativa nas demais faixas etárias, de acordo com o relatório da Okta. O número estimado de novas contas online registradas nos últimos três meses por jovens de 18 a 29 anos é de pouco mais de 40, caindo ligeiramente para 35 e 34 para aqueles na faixa de 30 a 39 e 40 a 49 anos, respectivamente. Estima-se que o usuários com 60 anos ou mais abriram cerca de 20 novas contas nos últimos três meses.
Um desafio da alta rotatividade de contas é a capacidade de gerenciar e manter pegadas digitais com segurança em um grande número. O relatório da Okta descobriu que 71% dos entrevistados estão cientes de que suas atividades online deixam rastro de dados, mas apenas 44% tomam medidas para mitigá-lo. O gerenciamento de senhas parece ser um ponto de discórdia específico, com 63% dos entrevistados relatando que não conseguem fazer login em uma conta porque esqueceram seu nome de usuário ou senha pelo menos uma vez por mês, aponta o relatório.
Veja isso
Brasileiros sofreram 284 mil tentativas de fraude de identidade
Brasil pode ter mais de 6 milhões de identidades roubadas
Embora a redefinição de senha geralmente seja possível, os usuários podem decidir que o processo simplesmente não vale o esforço, levando a mais inatividade da conta. Apenas 52% dos entrevistados relataram que ainda têm acesso a todas as suas contas, enquanto apenas 42% usam senhas diferentes para cada conta e apenas 29% revisam/alteram regularmente as configurações de privacidade da conta.
Contas inativas que não foram acessadas por longos períodos de tempo têm maior probabilidade de serem comprometidas, de acordo com o Google. “Isso ocorre porque as contas esquecidas ou não atendidas geralmente dependem de senhas antigas ou reutilizadas que podem ter sido comprometidas, não tiveram a autenticação de dois fatores (2FA) configurada e recebem menos verificações de segurança do usuário”, acrescenta a empresa. .
Na verdade, as contas abandonadas têm ao menos dez vezes menos probabilidade do que as contas ativas de configurar autenticação de dois fatores (2FA), disse o Google. Isso torna essas contas particularmente vulneráveis e, depois que uma conta é comprometida, ela pode ser usada para qualquer coisa, desde roubo de identidade até um vetor de conteúdo indesejado ou até malicioso, como spam.
Mais de 80% das violações envolvendo ataques contra aplicativos web podem ser atribuídas a credenciais roubadas, de acordo com o relatório de investigações de violação de dados de 2022 da Verizon. Os cibercriminosos estão priorizando as credenciais roubadas para aprimorar os ataques e contornar as medidas de segurança, demonstrando até mesmo uma disposição de abandonar o malware e favorecer o abuso de credenciais para facilitar o acesso e a persistência nos ambientes das vítimas.