Muito se aconselha na internet os usuários a usar senhas longas e gerados aleatoriamente para proteger seus ativos digitais. Agora vem a prova definitiva de que o excesso de comprimento da senha pode ser prejudicial para a segurança.

Ele vem em forma de vulnerabilidade recém-remendada em framework de desenvolvimento do Django Web. Por padrão, ele usa o algoritmo PBKDF2 transformar senhas em texto simples em longas cadeias chamadas de hashes criptográficos. O problemas dessas senhas é passa-los através de várias rodadas de hashing que aumentam significativamente o tempo e os recursos computacionais necessários. Para grandes bancos de dados de senha, o esforço adicional pode literalmente adicionar séculos para o processo de quebra as senhas.

Os desenvolvedores do Django dizem, este esforço maior por segurança pode ser uma lâmina de dois gumes. Em um comunicado os desenvolvedores explicam o porquê:

Unfortunately, this complexity can also be used as an attack vector. Django does not impose any maximum on the length of the plaintext password, meaning that an attacker can simply submit arbitrarily large—and guaranteed-to-fail—passwords, forcing a server running Django to perform the resulting expensive hash computation in an attempt to check the password. A password one megabyte in size, for example, will require roughly one minute of computation to check when using the PBKDF2 hasher.

This allows for denial-of-service attacks through repeated submission of large passwords, tying up server resources in the expensive computation of the corresponding hashes.

Pouco depois alguém divulgou a vulnerabilidade de negação de serviço em um fórum público para desenvolvedores Django, mantenedores rapidamente correram para consertá-la. As atualizações, que limitam senhas para 4096 bytes, estão ligados à assessoria de segunda-feira. O cargo passou a usuários lembrou que os desenvolvedores do Django preferem receber divulgações de segurança privada em security@djangoproject.com para que eles possam corrigir a vulnerabilidade antes de se tornar amplamente conhecido.

O portal rockinrioingressos.com.br, que vendia os bilhetes, não está mais no ar. Foram criadas comunidades nas redes sociais para denunciar a fraude e há denúncias de várias partes do País.

Os organizadores do evento afirmam que não se responsabilizarão pelo golpe. “A veracidade dos ingressos só é garantida pela venda oficial. Temos estratégias para evitar falsificações, mas elas podem acontecer”, diz Fabiane Guimarães, gerente de comunicação do festival.

Durante os três primeiros dias de shows, segundo Fabiane, não chegaram à organização casos de ingressos falsificados. “Mas foram presos alguns cambistas que tentavam vender ingressos nas imediações da Cidade do Rock”, diz.

As primeiras vítimas do golpe apareceram há poucas semanas. É o caso do físico Wahlem Santos, de Uberlândia (MG). Por meio de boleto bancário, ele pagou R$ 300 pelo ingresso, com direito a uma camiseta. Após desconfiar que havia sido enganado, descobriu que o boleto, na verdade, era uma ordem de pagamento. O número que consta no documento é o mesmo para todos os que compraram pelo site.

O empresário Rodrigo Toni, de São Paulo, adquiriu dois ingressos, cada um por R$ 450. “Recebi um comprovante da compra por e-mail. Fiquei tranquilo”, relata. Também foi o atraso na entrega que despertou a sua desconfiança. “Quando tentei entrar em contato, os e-mails começaram a voltar”, conta. Acostumado a fazer compras pela internet, Toni diz que não desconfiou do site.

Hotel e avião. Há casos em que o prejuízo foi ainda maior, já que também foram comercializados hotel e passagem aérea. Um professor de Camboriú, em Santa Catarina, relata ter perdido mais de R$ 2 mil.

Reportagem Completa