Cancelou um dedicado com o Datacenter? Seus dados podem estar nas mãos de terceiros!

[Eltern]

Nos últimos dias, algo bastante incomum aconteceu comigo. Este "algo" só não se constituiu tragédia por um ou dois fatores. Dentre eles, a minha ciência sobre uma questão importante e, por vezes, ignorada por muitos de nós: A segurança da informação.

Um dos serviços que comumente presto é o de análise de fornecedor para interessados em ingressar no mercado de hosting, ou ainda, para agências web ou profissionais/empresas que desejam contratar infraestrutura terceirizada para hospedagem na Internet. Esta solução basicamente é a contratação, por mim ou por um interno, de um serviço em uma empresa qualquer solicitada pelo cliente, ou seja, baseado num orçamento X, nós contratamos servidores em empresas para aplicar testes que vão de atendimento à infraestrutura.

Um exemplo:

O cliente pede que façamos um review de um fornecedor de servidores "cloud", nós vamos (virtualmente) à empresa que o cliente informou, contratamos o produto e fazemos levantamentos gerais para que o cliente aprecie e analise.

Em meados de 2011 contratamos um servidor "cloud" numa empresa para a prestação deste serviço de "review". Os testes foram feitos, o relatório entregue, blá blá, e então, solicitamos o cancelamento do servidor. Porém, nos últimos 3 dias (quase seis meses após termos encerrado a contratação), comecei a receber logs de atividade deste servidor que supostamente estava cancelado. Não tenham dúvidas: o servidor que deveria ter tido os dados "destruídos" estava ali, operante..... em plena atividade.

A questão é uma só, para tentar resumir o papo: Até datacenters (alguns) de menor prestígio (no exterior) possuem uma política de "reclaiming", ou seja, sempre que o servidor é cancelado pelo cliente (devolvido ao provedor), o fornecedor coloca o HD deste server sobre um processo de destruição total dos dados para evitar que o próximo a locar o hardware (o servidor) consiga recuperar dados neste HD.

Imagine o cenário: Você aluga um servidor dedicado, hospeda suas informações (não interessa quais sejam, elas são sigilosas) nele e depois de um tempo, cancela o serviço. Daí, o datacenter aluga este mesmo servidor para um novo cliente que, com segundas intenções ou não, inicia um procedimento de recuperação de dados (ação bastante simples) a fim de, obviamente, ter acesso indevido a dados e, com isso, poder praticar alguma ação ilegal ou mesmo se valer dos dados para proveito próprio (exemplo: cópia de scripts e etc). Se isso não te assusta nem um pouco, deveria.

Embora eu tenha resumido o episódio em nada menos que uns 90%, e eu não tivesse dados "importantes" neste ambiente de teste, o ocorrido despertou em mim uma profunda revolta, pois não existiu por parte deste fornecedor, uma preocupação com a informação do cliente.

Curiosidade:

Você sabia que uma situação desta pode ser a raiz de: invasões de sistemas web, ações de phishing, spam, e outros problemas enfrentados no universo digital?

Mesmo que o meu maior enfoque comercial seja o assessoramento e suporte técnico ao micro/pequeno provedor e agências web, eu também vendo serviços de hospedagem na Internet e fiquei extremamente preocupado com a forma amadora que, estas empresas ditas "datacenter e ou provedores de hospedagem na Internet" expõe os seus clientes e usuários aos mais esdruxulos casos de negligência técnica.

Eu troco de notebook uma vez por ano, e a cada vez que vendo ou dôo o equipamento antigo, eu retiro o HD (e em certos casos, a memória RAM) e substituo por um novo ou por um outro que tenha sido submetido a uma formatação real (aquele que impede que os dados sejam recuperados posteriormente). Esta singela ação garante que as informações que processei durante os meses anteriores (informações pessoais, da empresa, de clientes, etc)  no computador portátil, não caiam em mãos erradas. Nós, que prestamos serviço de TI, temos por obrigação, que buscar melhores práticas para a gestão da informação, seja ela qual for e de quem for.

Por isso, prezado leitor, não mais se esqueça de questionar ao seu fornecedor de serviços de hospedagem dedicada (seja via "cloud", vps ou dedicado) sobre como ele tratará os dados após a devolução, por sua parte, do servidor alugado. Apagar as contas utilizando meios tradicionais não resolvem nem resolverão. Algumas boas práticas podem assegurar-lhe mesmo em casos onde o problema seja imposto por meios omissos a sua vontade. Sempre leia os termos do prestador de serviços; Procure negociar com empresas que possuam referências sólidas através de recomendações idôneas; Contrate especialistas para lhe ajudar sempre que enfrentar dúvidas; Não considere apenas o ontem.

Após esta leitura, reflita comigo:

1. 
   
2. Quantas vezes fomos vitimas de casos semelhantes ao descrito aqui, sem sequer termos a noção?
   
3. Como assegurar as informações numa plataforma de hospedagem web movida a storages?
   
4. Como selecionar um fornecedor que satisfaça, antes da parte técnica, critérios de idoneidade moral?
   
5. Sou competente o bastante para compreender das responsabilidades necessárias para se prover serviços face as minhas limitações?
   

Em tempo: Um próspero 2012 para todos!

[Visitante]

Você me deu muita coisa sobre o que pensar, Eltern. Fiquei preocupada agora - nunca havia considerado isso antes. Este é justamente um dos motivos de eu não ficar hospedando o PDH e o Netmundo em qualquer lugar. Tenho muito medo do que podem fazer com a minha base de clientes e membros. Se possível, você poderia compartilhar comigo o nome da empresa em questão?

[Visitante]

Isso dá medo...

[Visitante]

Nossa também nunca tinha pensado nisso vou questionar meu data center sobre isso. E bom demais por nós dar essas dicas.

[Visitante]

Angélica, agradeço pelas considerações. Se eu revelar o nome da empresa agora, cairá por terra a real intenção do artigo que é a de alertar e não a de difamar. Agradeço por compreender.

[Visitante]

Angel, excelente texto! Corrige lá "invações".

[Visitante]

@whmcsblogbr:disqus , ed, o texto é do Eltern! E está muito bacana mesmo.

[Visitante]

Realmente é um excelente texto e realmente aconteceu algo assim comigo quando saí da hospedagem anterior. Apesar de "em teoria" terem cancelado minha hospedagem, notei que ainda podia acessá-la durante um bom tempo. Como disse a Angélica acho que é algo à se considerar. Após a mudança devemos ter cuidado de excluir os dados antes de cancelar o plano. Se possível utilizar alguma forma de gravar/reescrever dados aleatórios diversas vezes para impossibilitar a recuperação.

[Visitante]

Realmente esse artigo me deixou bastante pensativo, e confesso que preocupado. Como podemos avaliar se o Data Center é correto nesse sentido? E  Eltern, esse DC é brasileiro?

[Visitante]

Sempre pensamos em backup, e o quanto de paranóia se deve dar a esse assunto para que não percamos dados. Mas esse caso chama a atenção para a mesma paranóia que devemos ter em eliminar dados quando o caso requer. Imaginar todos os cenários possíveis é fundamental.