Acontece todos os dias em milhares de escritórios: "Ei, pode me passar a senha do banco de dados?".

E segundos depois, uma resposta no Slack ou Microsoft Teams: "Claro, é Sup3rS3cr3t!2024".

Parece inofensivo. Afinal, Slack e Teams são ferramentas empresariais seguras, certo? Exigem login, 2FA e usam HTTPS. O que poderia dar errado?

A realidade é que, embora essas ferramentas sejam excelentes para comunicação, são lugares terríveis para armazenar segredos. Quando você cola uma senha em um chat, está criando uma vulnerabilidade de segurança permanente.

O Problema dos Logs Eternos

A principal razão pela qual compartilhar senhas no Slack arrisca sua segurança é a persistência.

Ferramentas de chat corporativo são projetadas para manter o histórico. Elas querem que você possa pesquisar aquele arquivo de três meses atrás. Mas esse recurso é um bug para a segurança.

  • Histórico Indexável: O Slack indexa cada palavra. Se um hacker ganhar acesso à conta de um único funcionário (via phishing ou roubo de sessão), a primeira coisa que fará é pesquisar palavras-chave como "senha", "chave", "segredo", "login" ou "admin".
  • O Efeito "Mina de Ouro": Um histórico de chat não é apenas uma conversa; é um repositório de cada segredo que sua equipe já compartilhou. Anos de credenciais, muitas vezes ainda válidas, esperando para serem encontradas.

A Ameaça Interna e Conformidade

Não se trata apenas de hackers externos.

  • Admins Globais: Em muitas organizações, administradores têm acesso para exportar logs completos de chat para fins legais ou de conformidade (eDiscovery). Isso significa que sua DM "privada" com uma senha pode ser legível por equipes de TI ou jurídicas.
  • Prévia de Notificações: Senhas enviadas no chat frequentemente aparecem em telas de bloqueio (notificações push). Qualquer pessoa passando por perto poderia ver.

A Solução: Comunicação Efêmera

Para seguir as melhores práticas de segurança no Teams, você precisa separar a comunicação da transmissão de segredos.

Use o Slack para dizer "Aqui está a credencial". Use o Nurbak para entregar a credencial.

O Fluxo de Trabalho Seguro

Em vez de colar a senha diretamente:

  1. Gere: Cole a senha no Nurbak.
  2. Configure: Defina para se autodestruir após 1 visualização.
  3. Compartilhe: Cole o link do Nurbak no Slack/Teams.

O Resultado:

  • Seu colega clica no link e obtém a senha.
  • O link é destruído imediatamente.
  • A mensagem no Slack permanece ("Aqui está o link..."), mas o link não leva a lugar nenhum (404 Not Found).
  • Se um hacker pesquisar nos logs um mês depois, encontrará um cemitério de links mortos, não uma lista de senhas vivas.

Conclusão

Pare de tratar seus logs de chat como um gerenciador de senhas. Eles não são cofres criptografados; são arquivos de texto pesquisáveis hospedados no servidor de outra pessoa.

Adote canais de comunicação seguros para segredos. Use links efêmeros e mantenha seu histórico limpo.