O que aprender com a FALHA de segurança e usabilidade da Microsoft no Docs.com

Como as opções padrão de um serviço podem afetar fortemente a segurança dos usuários

Na última semana, o serviço de compartilhamento de documentos da Microsoft, o Docs.com, fez sucesso nas notícias como mais um caso de vazamento de informações de usuários. A novidade aqui é que eles não foram hackeados; a exposição dos documentos deveria ser apenas uma característica do serviço. Mas, então, por que várias pessoas foram pegas de surpresa ao descobrirem que seus documentos privados com informações altamente sensíveis estavam disponíveis para uma busca no Google? Uma dica: o problema foi de usabilidade.

Sobre a opção padrão

Usando uma ajudinha de ninguém menos que Jakob Nielsen, posso dizer que, quando pensamos na utilidade das opções padrão para a usabilidade de um sistema, os papéis que elas costumam ter são:

• Um valor representativo, para que o usuário entenda que tipo de informação ele deve inserir em um campo.
• Um valor frequente, para que o usuário saiba qual é a informação mais comum esperada dele e, possivelmente, o incentive a escolher esse valor (no caso de opções de venda).

Em geral, os defaults devem ser educativos, ajudar a guiar o usuário e evitar que ele cometa erros. No entanto, há outras nuances do papel da opção padrão que devem ser consideradas pelos criadores de sistemas, especialmente quando se trata de uma configuração padrão que o usuário não precisa, necessariamente, interagir. O que eu quero dizer com isso? Bom… pense em todos os serviços online e programas que você usa nos seus aparelhos; você já customizou as configurações de todos eles?

Eu mesma, que sou designer e trabalho com programas de edição gráfica no meu dia-a-dia, mexi em pouquíssimas configurações do meu Photoshop ou Illustrator. Eu estou contando que os defaults sejam as melhores escolhas possíveis para quem não quer alterar um comportamento específico do software.

E no caso de um serviço que tenha acesso direto a minhas informações sensíveis? A expectativa é que as opções padrão sejam as melhores para manter a minha privacidade e segurança. E esse deve ser o objetivo delas, já que a maioria dos usuários sequer pensa em olhar as configurações. E, quando olhamos, nossa tendência é pensar “se alguém escolheu isso por mim, deve haver um bom motivo”.

Essa confiança que colocamos nos padrões dos sistemas que utilizamos deve se refletir em responsabilidade por parte dos criadores do sistema em escolher a melhor configuração possível. Quando isso não ocorre, problemas como o do Docs.com acontecem e causam um enorme prejuízo aos usuários e à imagem do negócio. E é este caso que vamos explorar agora.

Como tudo aconteceu

Logo do Docs.com da Microsoft

O Docs.com é um serviço gratuito da Microsoft que está associado ao Office 365 e que permite que os usuários guardem e compartilhem documentos. Ao subir um documento, o usuário tem a opção de deixá-lo público ou de restringir o acesso a ele. Nada de estranho até aqui.

O problema surgiu com o seguinte: quando o usuário faz upload de um documento, ele é colocado como público por default, isto é, a opção padrão pré-selecionada deixa o documento acessível a todos e o faz ser indexado por mecanismos de busca. Para que o documento fique privado, é necessário que a pessoa ativamente busque fazer essa mudança no status de privacidade. Ou seja, sempre que alguém não repara na opção de privacidade, ela automaticamente deixa o documento exposto.

E foi isso que aconteceu. Muitas pessoas fizeram upload de diversos documentos com informações altamente sensíveis sem perceber que estavam deixando o documento completamente público. Entre as informações que foram encontradas estavam: listas de logins e senhas; perfis pessoais completos, como nome, endereço, telefone, número de segurança social, conta bancária, telefone e e-mail; dados médicos incluindo logs e fotos de tratamentos; instruções destinadas a funcionários de como se conectar na rede de uma empresa.

E o quão públicos estavam estes documentos? Muito. Como eles foram indexados por mecanismos de busca, uma simples pesquisa no Google poderia te levar a alguns deles. E, para piorar, a funcionalidade de busca do site Docs.com, que é aberta para qualquer visitante do site (você não precisa fazer login para usá-la) também te daria uma lista de documentos por palavras-chave. Veja aqui, por exemplo:

Tela de resultados de busca do Docs.com da Microsoft

Na caixa de busca da barra superior, eu botei a palavra “bank” e apertei no ícone de busca. Logo abaixo, podemos ver que o buscador me deu 7812 resultados de documentos públicos com a palavra-chave “bank”. Abaixo disso, os resultados encontrados são listados, bastando eu clicar no documento que eu quiser para poder acessá-lo.

Essa facilidade de busca faz todo o sentido para documentos que são propositalmente colocados como públicos. No entanto, para os documentos que deveriam ter ficado privados, a busca alavancou o desastre de vazamento de informação.

Vale ressaltar que roubo de identidade e crimes relacionados são os crimes que mais subtraem valor de pessoas e negócios atualmente.

O papel da opção padrão

Eu posso te dizer, agora, que todo o problema de vazamento de informação privada poderia ter sido evitado se a opção padrão do Docs.com estivesse definida como “acesso limitado”. Mas será que essa seria mais uma daquelas situações em que é muito fácil analisar o problema em retrospectiva e que os designers do sistema não poderiam ter previsto? Eu creio que não.

Já é um fato bem aceito na usabilidade de sistemas que os usuários dificilmente mudam as opções escolhidas como padrão. Eu já introduzi este assunto no início do texto, mas vou detalhar um pouco mais as reais razões apontadas por estudos que justificam esse comportamento. No final do texto, eu vou listar alguns textos que falam sobre estes estudos para quem quiser se aprofundar um pouco mais.

Então, por que não costumamos mudar os defaults?

• O usuário tende a pensar que a opção padrão é uma recomendação de quem desenhou o sistema e, por isso, tende a confiar nela. Às vezes, até mais do que no próprio julgamento.
• A mente humana é “preguiçosa” para tomar decisões. Decidir requer um esforço mental e desconforto de ter que pensar qual a melhor escolha (isso fica mais claro quando estamos cansados e não queremos decidir nem coisas banais como o que pedir em um restaurante ou qual filme assistir). Se a mente puder, ela preferirá aceitar a decisão que já foi tomada por alguém (a escolha padrão).
• Mudar o padrão (o status-quo) desperta um sentimento inconsciente de aversão a perda, isto é, você sabe que se escolher o diferente vai ter que abrir mão de alguma coisa.

“Ok, mas decidir se um documento com informações privadas deve permanecer privado não é uma escolha difícil, qualquer um faria.”

Sim, é verdade. Mas aí entramos em uma questão mais específica do design do Docs.com. Veja como é a página que o usuário vê quando ele vai enviar um documento:

Tela de upload de documentos do Docs.com

O usuário consegue ver e clicar “Save”, isto é, publicar o documento, sem precisar editar nenhum dos campos de configuração. O nome do autor é preenchido automaticamente baseado no seu login, o nome do documento é baseado no nome do arquivo que você escolheu fazer upload e o restante pode ser considerado desnecessário para muita gente. Somente se o usuário der scroll para ver as outras opções de configuração que ele será capaz de ver isso:

Tela de upload de documentos do Docs.com

A parte destacada com o título “Visibility” é a seção de configuração onde o usuário pode definir se o documento dele ficará público ou não. O texto é até bem explicativo para a pessoa saber o que ela está escolhendo. Mas de que adianta se ela corre o risco de nem ver essa opção antes de publicar?

Isso significa que a interface está mal-feita e que todas as opções de configuração devem aparecer na mesma tela? Apesar de isso não ser uma ideia ruim, ela é, muitas vezes, inviável por conta do tamanho das nossas telas. A grande questão a ser percebida aqui é: a opção padrão deve ser muito bem pensada. Ela não só deve facilitar a maior parte dos usuários mas, especialmente, deve fornecer a opção mais segura para eles.

Seja por uma particularidade da interface ou por qualquer uma das razões que expliquei, há grandes chances de que o seu usuário não irá mudar a opção padrão. Por isso, é sua responsabilidade como programador, designer, ou qualquer pessoa que tenha influência sobre o desenho do sistema, cuidar que o usuário esteja na melhor situação possível (o que inclui o mais seguro possível) caso ele use o sistema sem alterar nenhuma configuração. Esse é o papel essencial da opção padrão e que faltou na interface do Docs.com.

Update pós vazamento: parece que, agora, o Docs.com te mostra uma janela de confirmação para saber se você realmente quer deixar o seu documento público quando você clica em “Save” e a sua configuração está como “visível”.

Os programadores também sofrem

E não é só a Microsoft que comete erro no julgamento de um bom padrão, ou só usuários com menos conhecimento técnico que são pegos por opções padrões mal determinadas. Um exemplo também recente de uma falha seríssima de segurança por uma razão similar foi o ataque aos bancos de dado com instalação MongoDB. Esta falha permitiu que, no final de 2016, mais de 28.000 instalações de MongoDB fossem hackeadas e tivessem seus dados comprometidos.

O que aconteceu foi que as versões anteriores à 2.6.0 do MongoDB possuíam em seus arquivos de configuração padrão as seguintes características:

• O banco de dados não estava preso ao IP local, isto é, pessoas de qualquer lugar poderiam se conectar com aquele banco de dados.
• A autenticação não estava ativada, ou seja, a opção padrão era não precisar de login e senha para acessar o banco.

O incrível é que, se você falasse para qualquer um dos programadores por de trás das instalações que o banco de dados deles estava configurado desta forma, eles saberiam na hora que isso precisaria ser mudado. No entanto, muitos desses profissionais seguiram a mesma tendência do restante dos usuários e não pensaram em mudar as opções padrão. Por mais que eles devessem ter um pouco mais de responsabilidade por estar lidando com os dados de muitas pessoas e não apenas deles mesmos, os defaults mal escolhidos foram grandes responsáveis pelo ocorrido.

O resultado disso foi um ataque em massa onde bancos de dados foram copiados e deletados pelo atacante, que pedium um valor de “resgate” para a devolução dos dados. Mesmo com a versão mais recente do MongoDB não estando mais vulnerável (o arquivo de configuração padrão deixava a instalação mais segura), muitas empresas com as versões antigas foram pegas de surpresa e sofreram com o prejuízo.

Dentro do padrão

Espero que possamos aprender com estes casos que a importância das opções padrão para o design de um sistema não está restrita a ser a opção mais fácil para os usuários ou a que gerará a maior conversão. Ter um documento público quando você achou que ele estava privado é uma falha de usabilidade, pois o usuário não entendeu o funcionamento de seu sistema. E ter os seus dados expostos por uma razão facilmente evitável é uma clara quebra da experiência do usuário e confiança. A segurança precisa fazer parte de um bom design.

Essa não é a primeira vez que escrevo sobre a relação entre usabilidade de segurança. Dê uma olhada do meu artigo Usabilidade do Bitcoin: uma questão de segurança. ;)

Os estudos que prometi sobre como as pessoas tendem a escolher as opções padrão:

• https://www.nngroup.com/articles/the-power-of-defaults/
• http://www.dangoldstein.com/papers/DefaultsScience.pdf
• https://www.uie.com/brainsparks/2011/09/14/do-users-change-their-settings/

Outras fontes que foram essenciais para este artigo:

• https://snyk.io/blog/mongodb-hack-and-secure-defaults/
• https://arstechnica.com/security/2017/03/doxed-by-microsofts-docs-com-users-unwittingly-shared-sensitive-docs-publicly/

Curtiu? Clique no coração e compartilhe com seus amigos! :)

Saiba mais sobre o txplab ou entre em contato conosco!