Pesquisadores de segurança encontraram falhas de criptografia em alguns modelos de SSD. Ao continuar a investigação, eles descobriram que o problema pode ser ainda mais grave: devido à forma como o Windows 10 trata a criptografia de discos de armazenamento, milhões de pessoas podem estar com dados desprotegidos em seus computadores.

A vulnerabilidade encontrada pelos pesquisadores da Universidade de Radbound, na Holanda, envolve SSDs da Samsung e da Crucial. Ao analisar o firmware dos discos de armazenamento, os cientistas descobriram que a senha mestre padrão do sistema de criptografia dele estava em branco. Assim, qualquer senha poderia ser usada para desbloquear o disco e fornecer acesso aos dados para qualquer pessoa.

A situação fica ainda mais grave considerando a forma como o Bitlocker, software de criptografia do Windows 10, funciona. O programa da Microsoft define a criptografia nativa do SSD como a padrão para ele – ou seja, no caso dos drives da Samsung e da Crucial, a solução da Microsoft não só não oferecia nenhum tipo de proteção própria, quanto oferecia a padrão do dispositivo, que não era exatamente segura. Assim, dados de milhões de pessoas que usam os componentes da empresa podem estar expostos no Windows 10, e essas informações podem ser acessadas mesmo sem uso de uma senha.

O caso deixa bem claro duas situações diferentes em que empresas não dão a devida atenção à segurança dos usuários. Os pesquisadores holandeses sugerem que, em vez de fabricantes como a Crucial e a Samsung usarem soluções próprias de criptografia para seus produtos, elas deveriam adotar opções de código aberto que são consideradas mais seguras.

Além disso, a Microsoft também deu uma escorregada. De acordo com o pesquisador de criptografia Matthew Green, do Instituto John Hopkins, nos Estados Unidos, a desenvolvedora do Windows deveria saber que a criptografia de discos de armazenamento não é das melhores, e, por isso, seria melhor se o Bitlocker oferecesse uma solução própria para garantir a segurança dos usuários.

Os pesquisadores da Holanda dizem ter alertado as fabricantes sobre o caso, e elas já fizeram as correções onde era possível corrigir. A Samsung agora sugere que seus usuários adotem criptografias alternativas em vez de usar o Bitlocker ou o recurso nativo dos componentes.