FTP é um jeito muito bom de você fazer upload ou download de material. É um protocolo bem antigo, dos anos 70, exatamente da época em que a internet estava aprendendo a engatinhar, mas ainda é usado até hoje – tem muita transferência de arquivo que a gente não percebe mas é FTP. Bom, as empresas que usam FTP geralmente têm em suas redes servidores específicos para isso: a Folha de S. Paulo tem, o Valor tem, a Natura tem, e a BBC também – só que o dela foi invadido.
Há um hacker russo supostamente chamado Sergey Vishnyakov vendendo por US$ 11 mil o método de acesso. Não exatamente à máquina da BBC, mas a todas as instalações semelhantes: o servidor de FTP usado pela BBC se chama “ProFTPD 1.3.3g”. A emissora já confirmou a invasão e por enquanto não sabe como se proteger porque não se trata de trocar a senha – o que o hacker fez foi descobrir uma vulnerabilidade que ele próprio ainda não revelou. Assim, trocar a senha não vai adiantar nada. Quem estiver disposto a pagar os US$ 11 mil pelo segredo saberá como entrar em todas as instituições que utilizam o ProFTPD. Exemplos: a LInksys, a escola de direito de Harvard e provedores de acesso em vários países.
O que uma empresa pode fazer num caso desses? Para a BBC é um problema seríssimo porque esse servidor é utilizado para recebimento de material de repórteres, colaboradores e anunciantes. A providência inicial é notificar todos os usuários sobre a vulnerabilidade – é preciso deixar claro que o servidor deixou de ser seguro. Segundo, é preciso buscar uma alternativa de armazenamento: ou um servidor de vulnerabilidade ainda não comprometida ou um serviço comercial, como o DropBox. Eu recomendo fortemente a segunda opção (um serviço comercial) porque embora possa custar dinheiro está pronta para uso e pode oferecer contrato com garantias de nivel de serviço.