Por quantas falhas de software você foi afetado no último ano?

Anualmente, a nossa colega do ramo de testes de software, Tricentis, compila alguns dados bem interessantes sobre falhas que acontecem em diversos segmentos, como automotivo, governamental, e faz algumas estatísticas em cima desses casos.

escrevi para você antes sobre alguns deles, e neste texto vou retomar um pouco mais a discussão sobre como muitas falhas de software acontecem debaixo do nosso nariz com outros serviços e não percebemos – você provavelmente foi afetado por uma série de bugs graves em 2016 mas não percebeu. Por conta disso, é comum pensar que nunca vai acontecer com a gente, mas se não seguirmos os devidos processos, é bem provável que sejamos os próximos.

Falhas estão em todo o lugar

O relatório é baseado principalmente em notícias de tecnologia que dão a dimensão de uma série de bugs que afetaram diversas pessoas ao redor do mundo – checamos todas as fontes usadas neste post para assegurar que não há sensacionalismo envolvido. Foram analisadas quase 1.200 histórias de 548 falhas e 363 empresas diferentes.

Com tanta dimensão, a Tricentis estimou que 4,4 bilhões de pessoas no mundo foram afetadas por falhas de software, seja diretamente por serviços online ou até mesmo na sua vida cotidiana, como ter um recall no seu carro, o metrô não conseguir cobrar tickets ou até mesmo você não conseguir entrar no seu hotel.

De todos esses problemas, 432 foram falhas de software, 78 foram vulnerabilidades de segurança e 38 foram problemas de usabilidade. Em relação ao ano de 2015, no geral, o número de falhas cresceu 12%.

O que aconteceu de tão ruim?

Em comparação com 2015, uma das categorias que mais cresceu foi a de software retail, ou seja, de sistemas que estão em produtos que são vendidos para o consumidor final. É claro, tudo isso se deve ao crescimento da internet das coisas. Vários dispositivos que estão conectados à internet hoje podem ter falhas que podem tomar proporções assustadoras, dado o número gigantesco de dispositivos conectados à rede. Já falei mais sobre o assunto no post que mostra o lado ruim da internet das coisas.

Certamente, a vulnerabilidade que deixou mais pessoas em risco foi uma falha no Kernel do Linux (sistema operacional sobre o qual o Android roda), que permitiu que conexões de 80% dos dispositivos com o sistema fossem interceptadas. A falha foi descoberta pela empresa de segurança Lookout e dava margem para o invasor saber a qual servidor uma pessoa estava conectada; dessa forma, alguém poderia injetar um código malicioso na página de forma a incentivar você de forma muito sutil a informar dados sigilosos, como usuário e senha.

android

No segmento de serviços, também houve crescimento em relação ao ano de 2015, embora apenas 27% dos casos tinham explicações claras sobre o que tinha causado a falha, um perigo para a transparência entre a empresa e o consumidor. A revelação mais chocante foi a de que 1 bilhão de contas do Yahoo tiveram dados vazados, incluindo e-mails e senhas. Quanto tempo demorou para ficarmos sabendo? Três anos, uma vez que o ataque aconteceu em agosto de 2013. Foi um caso extremamente complicado para o time de gerenciamento de riscos e para o Yahoo em geral, uma vez que outros vazamentos já haviam acontecido em 2014, e outras vulnerabilidades vieram à tona neste ano de 2017. Se você criou uma conta de email no início do ano 2000, provavelmente deve ter uma conta de email do Yahoo.

A sensação de que todos os usuários do serviço foram afetados é latente. Aliás, vale explicar: o vazamento de e-mails e senhas de um serviço tão grande não é um problema apenas para aquela empresa. Se uma pessoa usar a mesma senha em vários outros serviços, ou sua conta no Yahoo conter informações pessoais ou bancárias, o nível de pessoas afetadas que essa invasão afetou não está escrito.

A pergunta que faço para provocá-lo agora é: depois de tudo, você ainda confia no serviço? Já mudou sua senha? E se sua senha era a mesma de outros serviços de email, como Gmail?

Ainda no topo da lista, o Android e o Yahoo continuaram a revezar os próximos lugares, já que outras falhas vieram a acontecer.

Não podemos deixar de citar também o massivo vazamento de 11,5 milhões de documentos e 2,6 TB de dados vazados do escritório de advocacia Mossack Fonseca, no escândalo conhecido como Panama Papers. Como o Panamá é um paraíso fiscal, nestes documentos vieram à tona uma série de atividades ilícitas de políticos e celebridades. No Brasil, tivemos 26 personalidades citadas no escândalo, como o ex-presidente da Câmara Eduardo Cunha e executivos de empreiteiras como Odebrecht, Queiroz Galvão, entre outras.

Por fim, na lista temos diversos escândalos políticos e financeiros causados por meros problemas de software, como a interferência da Rússia nas eleições americanas, bancos na Índia com 3,2 milhões de cartões de débito comprometidos, US$ 81 milhões roubados virtualmente de um banco em Bangladesh e recalls diferentes de veículos pela gigante montadora General Motors.

E em 2017?

Em 2017, já tivemos falhas enormes que com certeza vão entrar para a lista deste ano, como a atividade do imenso ransomware WannaCry, de outro ransomware que veio logo em seguida batizado de Petya, outro ransomware que afetou exclusivamente a plataforma Linux e mais assaltos virtuais à bancos que movimentaram US$ 900 mil. E o ano nem terminou.

Como você pode imaginar, essas centenas de falhas e vulnerabilidades que, únicas, afetam bilhões de usuários, causam prejuízo. Em 2016, 148 empresas públicas foram afetadas por bugs enormes e que causaram um prejuízo tão grande que não pôde ser estimado no total.

Só para você ter uma dimensão do tamanho do problema, a companhia aérea British Airways implementou um novo sistema de check-in no mundo todo em 2016, que ficou indisponível 5 vezes entre maio e setembro do mesmo ano. Nada irrita mais os consumidores que atrasos em voos e em check-ins, portanto essa falha fez a empresa perder 10,54% de suas ações, uma soma que chega a 92 bilhões de euros (!).

check-in britsh airways

É importante você perceber que, apesar dessas falhas acontecerem em dimensões gigantescas e em empresas enormes, algo menor pode acontecer debaixo do seu nariz. Falei sobre a ilusão de que não precisamos mexer no que está funcionando no texto do WannaCry e sobre como pode ser vantajoso integrar equipes de teste de software com equipes internas para obter um melhor resultado em outro texto.

Com os serviços prestados pela One Day Testing, você consegue se antecipar a muitas falhas, sejam elas vulnerabilidades de segurança ou problemas que afetam a jornada de seu usuário (o que, por consequência, afeta as chances de seu produto ter os resultados que você espera). Vamos conversar sobre o assunto? Me mande um e-mail em bruno.abreu@sofist.com.br ou ligue no telefone (19) 3291-5321.