Vazamento de dados são sempre um sinal de alerta para empresas e consumidores. Podem expor emails, credenciais de redes sociais, registros médicos, propriedade intelectual, segredos de negócio, informações financeiras e bancárias entre outras informações sensíveis. Apesar de grandes nomes como Facebook, Equifax e Capital One chamarem a atenção da grande mídia existem muitos outros casos acontecendo todos os dias em empresas de todos os tamanhos.
Dia 28 de Janeiro é o dia internacional da Privacidade de Dados. Uma iniciativa que surgiu em 2006 para difundir boas práticas de segurança e aumentar a conscientização sobre a importância de proteger dados pessoais tanto para empresas quanto para pessoas. A data corresponde a quando foi assinado na Europa a Convenção 108, de 28 de janeiro de 1981 que foi uma das primeiras normas que garantiam o direito fundamental à privacidade.
Nesse artigo falamos sobre:
Vazamento de dados é um incidente de segurança que expõe publicamente informações sensíveis que podem ser vistas, copiadas, roubadas, transmitidas ou usadas sem acesso autorizado.
Surpreendentemente, as principais causas de vazamentos não são apenas ataques cibernéticos como malware, phishing, spyware, ransomware, etc mas também falhas simples de configurações de segurança que poderiam ser corrigidas, evitando assim enormes prejuízos de reputação e perdas financeiras para as empresas vazadas. Outras causas podem incluir funcionários insatisfeitos ou mau-intencionados, erros sem intenção de funcionários, falta de conhecimento técnico ou expertise para proteger os dados ou o ambiente.
Apesar de serem difíceis de detectar o melhor a fazer para mitigar o iminente risco é implementar gestão de risco para detecção, contenção e comunicação no caso de um vazamento. Quanto mais rápida sua detecção menor o prejuízo.
Algumas das maneiras mais comuns para a ocorrência de vazamento de dados:
Coisas que parecem tão simples de resolver como uma senha fraca ou falta de 2FA pode ocasionar um vazamento de dados. E mesmo as melhores senhas são inúteis frente a uma configuração de sistema ruim que deixa seu banco de dados aberto.
SQL Injection é um tipo de ataque simples e que requer conhecimento técnico mínimo para ser realizado. Explora a falta de segurança de websites para obter acesso não autorizado à sua base de dados. Além de simples esse ataque pode ser automatizado.
Um pouco mais complexo, esse ataque requer engenharia social para manipulação de pessoas para obtenção de dados sensíveis. O exemplo clássico é o email falso que é feito para parecer real, ou similar à algum email que você conhece. Esse email pode te pedir informações, te oferecer um crédito ou qualquer outra coisa. Clicando nos links do email você pode acabar instalando malwares, spywares ou mesmo ser direcionado para logins falsos em páginas similares a que você já conhece, fornecendo assim suas informações sensíveis.
Esse ataque tira proveito de vulnerabilidades ou bugs de softwares para obter acesso não autorizado a um sistema ou seus dados. Vulnerabilidades são buscadas por pesquisadores com o intuito de publicação de CVEs ou por criminosos com intenção de exploração maliciosa que causa prejuízo à empresa. Sistemas operacionais, navegadores e aplicações populares são alguns dos principais alvos e existem até exploit kits que tornam simples a exploração de vulnerabilidades sem conhecimento técnico por criminosos.
Você pode ter a melhor postura de ciber segurança internamente mas se não gerenciar o risco dos seus fornecedores de forma adequada pode acabar tendo seus dados vazados através de falhas de segurança dos mesmos.
As regulamentações de privacidade de dados como LGPD e GDPR requerem que as empresas informem os clientes e procurem remediar o vazamento de dados assim que eles ocorram. Os prejuízos de um vazamento de segurança não são apenas financeiros mas também ocasionam perda de reputação cada vez mais evidente.
Por isso, assim como na saúde, prevenção é sempre o melhor remédio.
Isso torna essencial para organizações terem um programa de gestão de segurança da informação baseado em frameworks como ISO 27.001, NIST CyberSecurity Framework e CIS. Esses frameworks sugerem a adoção de controles e processos que permitem avaliar continuamente a segurança do ambiente organizacional e de todos envolvidos com a operação da empresa, sejam colaboradores, fornecedores e parceiros de negócio.
Além disso, sugerem a criação de procedimentos para incidentes de segurança da informação, de forma que todos os responsáveis por segurança e tecnologia na empresa, saibam como proceder em caso de um vazamento de dados.
Com cada dia mais informações digitalizadas no mundo a tendência de crescimento de ataques cibernéticos e o risco de vazamento de dados tende a só aumentar. Veja alguns dos maiores casos que já ocorreram até hoje:
Esse é até hoje, e de maneira disparada, o maior caso de vazamento de dados da história. Acontecido em 2013, mas apenas descoberto anos depois quando a Yahoo foi vendida para a Verizon, causou uma perda de 350 milhões de dólares no valor de venda da Yahoo. Foram roubados nomes, datas de nascimento, telefones e senhas armazenadas com criptografia fraca.
Aadhaar é o sistema nacional de identidade da India, contém dados biométricos como impressões digitais, entre outros dados demográficos, da identidade de mais de 1.1 bilhões de cidadãos indianos. Os indianos são praticamente obrigados a se cadastrar na Aadhaar para acessar os serviços públicos. Todas essas informações foram vazadas.
A empresa de seguros e serviços financeiros vazou dados extremamente sensíveis contendo, por exemplo, informações bancárias detalhadas. Os documentos eram cópias digitalizadas que podiam ser acessadas via o site da empresa firstam.com. Eram documentos destinados à visualização apenas das partes envolvidas em uma transação (em grande parte de compra e venda de imóvel) que estavam acessíveis para qualquer um com o link, apenas alterando um único dígito e sem proteção de login, senha ou duplo fator de autenticação. O desenvolvedor Ben Shoval descobriu a falha da pior maneira possível: após visitar um link de seus próprios documentos.
Os 763 milhões de emails foram encontrados por um pesquisador em uma instância MongoDB exposta publicamente. Além dos emails alguns registros continham telefones, nomes e outras informações sensíveis coletadas a partir do serviço de verificação de emails Verifications.io.
As informações expostas incluirão nomes, números de passaporte, informações de contato e outras informações pessoais. As informações de cartão de crédito e débito estavam criptografadas, o que não garante que não foram também acessadas. O sistema da Starwood foi invadido em 2014 e o acesso não autorizado permaneceu até depois da compra da Starwood pela Marriot em 2016. A invasão foi descoberta apenas em 2018. As suspeitas são de que um grupo de inteligência contratado pelo governo da China estaria por trás do ataque.
Foram vazados 6 bancos de dados que incluiam nomes, emails, senhas da empresa que é dona de sites como o Adult Friend Finder, Penthouse.com, Cams.com, iCams.com and Stripshow.com. Entretanto, informações sensíveis como preferências sexuais não foram vazadas como em um incidente em 2015 da mesma empresa que teve 4 milhões de contas expostas. A maioria das senhas estava desprotegida ou contava apenas com um fraco algoritmo de criptografia SHA-1.
Os dados de suporte de 250 milhões de registros estavam amplamente acessíveis para qualquer um através do navegador de internet. Os dados incluíam emails, números de contrato, informações de pagamento, IPs, descrições de casos de suporte e notas internas marcadas como confidenciais. O vazamento foi descoberto em 28 de Dezembro que notificou a Microsoft que então descobriu que um banco de dados Azure interno utilizado para mensuração de analytics de suporte ao consumidor estava com falha na configuração.
Os dados incluíam números da Previdência Social, seguridade social, contas bancárias, nomes de pessoas, endereços, pontuação de crédito, limites de crédito saldos e outras informações. Uma ex engenheira de software da Amazon, Paige Thompson, teria conseguido acesso explorando um firewall de aplicativos da Web (WAF) configurado incorretamente pela Capital One, um dos maiores bancos dos EUA. Ela também usou os servidores para minerar criptomoeda, “cryptojacking”, e finalmente acabou expondo os dados, e também sua identidade, no Github sendo denunciada ao FBI. A Capital One calcula entre US $100 milhões e US $150 milhões os custos relacionados ao hack, incluindo notificações de clientes, monitoramento de crédito, custos de tecnologia e suporte legal devido ao hack.
Além destes citados acima muitos outros casos aconteceram em empresas como MySpace, Twitter, Facebook, Linkedin, Adobe, eBay, Quora, Dropbox, Tumblr entre muitas outras.
Se você chegou até aqui já percebeu os estragos que um vazamento de dados pode cause. Estar pronto para lidar com vazamento de dados é hoje parte essencial de qualquer boa gestão da segurança da informação e privacidade, de forma a garantir a continuidade do negócio.
GAT é uma plataforma de gestão de segurança da informação e conformidade. Com GAT é possível implementar frameworks de segurança com visibilidade da evolução da maturidade e aderência à conformidades, realizar a gestão de vulnerabilidades em ativos tecnológicos, pessoas e fornecedores.
Além disso, você pode atribuir risco aos seus ativos de acordo com o contexto do negócio, realizar assessments com envio de questionários à fornecedores que ajudam a conhecer e mitigar seu risco de exposição a vazamento de dados. Agende sua demonstração e entenda como podemos ajudar a sua empresa.