Vazamento de dados

Vazamento de dados
(Tempo de Leitura: 7 min.)

Vazamento de dados são sempre um sinal de alerta para empresas e consumidores. Podem expor emails, credenciais de redes sociais, registros médicos, propriedade intelectual, segredos de negócio, informações financeiras e bancárias entre outras informações sensíveis. Apesar de grandes nomes como Facebook, Equifax e Capital One chamarem a atenção da grande mídia existem muitos outros casos acontecendo todos os dias em empresas de todos os tamanhos.

Dia 28 de Janeiro é o dia internacional da Privacidade de Dados. Uma iniciativa que surgiu em 2006 para difundir boas práticas de segurança e aumentar a conscientização sobre a importância de proteger dados pessoais tanto para empresas quanto para pessoas. A data corresponde a quando foi assinado na Europa a Convenção 108, de 28 de janeiro de 1981 que foi uma das primeiras normas que garantiam o direito fundamental à privacidade.

Mas o que é vazamento de dados?

Vazamento de dados é um incidente de segurança que expõe publicamente informações sensíveis que podem ser vistas, copiadas, roubadas, transmitidas ou usadas sem acesso autorizado.

Surpreendentemente, as principais causas de vazamentos não são apenas ataques cibernéticos como malware, phishing, spyware, ransomware, etc mas também falhas simples de configurações de segurança que poderiam ser corrigidas, evitando assim enormes prejuízos de reputação e perdas financeiras para as empresas vazadas. Outras causas podem incluir funcionários insatisfeitos ou mau-intencionados, erros sem intenção de funcionários, falta de conhecimento técnico ou expertise para proteger os dados ou o ambiente.

Apesar de serem difíceis de detectar o melhor a fazer para mitigar o iminente risco é implementar gestão de risco para detecção, contenção e comunicação no caso de um vazamento. Quanto mais rápida sua detecção menor o prejuízo.

Algumas das maneiras mais comuns para a ocorrência de vazamento de dados:

Senhas fracas e controle de acesso falho

Coisas que parecem tão simples de resolver como uma senha fraca ou falta de 2FA pode ocasionar um vazamento de dados. E mesmo as melhores senhas são inúteis frente a uma configuração de sistema ruim que deixa seu banco de dados aberto.

SQL Injection

SQL Injection é um tipo de ataque simples e que requer conhecimento técnico mínimo para ser realizado. Explora a falta de segurança de websites para obter acesso não autorizado à sua base de dados. Além de simples esse ataque pode ser automatizado.

Phishing

Um pouco mais complexo, esse ataque requer engenharia social para manipulação de pessoas para obtenção de dados sensíveis. O exemplo clássico é o email falso que é feito para parecer real, ou similar à algum email que você conhece. Esse email pode te pedir informações, te oferecer um crédito ou qualquer outra coisa. Clicando nos links do email você pode acabar instalando malwares, spywares ou mesmo ser direcionado para logins falsos em páginas similares a que você já conhece, fornecendo assim suas informações sensíveis.

Exploração de Vulnerabilidades

Esse ataque tira proveito de vulnerabilidades ou bugs de softwares para obter acesso não autorizado a um sistema ou seus dados. Vulnerabilidades são buscadas por pesquisadores com o intuito de publicação de CVEs ou por criminosos com intenção de exploração maliciosa que causa prejuízo à empresa. Sistemas operacionais, navegadores e aplicações populares são alguns dos principais alvos e existem até exploit kits que tornam simples a exploração de vulnerabilidades sem conhecimento técnico por criminosos.

Vazamento via fornecedores

Você pode ter a melhor postura de ciber segurança internamente mas se não gerenciar o risco dos seus fornecedores de forma adequada pode acabar tendo seus dados vazados através de falhas de segurança dos mesmos.

Porque você deveria se preocupar

As regulamentações de privacidade de dados como LGPD e GDPR requerem que as empresas informem os clientes e procurem remediar o vazamento de dados assim que eles ocorram. Os prejuízos de um vazamento de segurança não são apenas financeiros mas também ocasionam perda de reputação cada vez mais evidente.

Por isso, assim como na saúde, prevenção é sempre o melhor remédio. 

Isso torna essencial para organizações terem um programa de gestão de segurança da informação baseado em frameworks como ISO 27.001, NIST CyberSecurity Framework e CIS. Esses frameworks sugerem a adoção de controles e processos que permitem avaliar continuamente a segurança do ambiente organizacional e de todos envolvidos com a operação da empresa, sejam colaboradores, fornecedores e parceiros de negócio.

Além disso, sugerem a criação de procedimentos para incidentes de segurança da informação, de forma que todos os responsáveis por segurança e tecnologia na empresa, saibam como proceder em caso de um vazamento de dados.

Alguns casos reais dos maiores vazamento de dados

Com cada dia mais informações digitalizadas no mundo a tendência de crescimento de ataques cibernéticos e o risco de vazamento de dados tende a só aumentar. Veja alguns dos maiores casos que já ocorreram até hoje:

1. Yahoo

  • 3 bilhões de contas
  • Outubro de 2017
  • Causa: spear phishing, entre outras
Yahoo notificada sobre vazamento de dados

Esse é até hoje, e de maneira disparada, o maior caso de vazamento de dados da história. Acontecido em 2013, mas apenas descoberto anos depois quando a Yahoo foi vendida para a Verizon, causou uma perda de 350 milhões de dólares no valor de venda da Yahoo. Foram roubados nomes, datas de nascimento, telefones e senhas armazenadas com criptografia fraca. 

2. Aadhaar

  • 1.1 bilhões de pessoas
  • Março de 2018
  • Causa: falha na API de sites, entre outros
base de dados da Aadhaar

Aadhaar é o sistema nacional de identidade da India, contém dados biométricos como impressões digitais, entre outros dados demográficos, da identidade de mais de 1.1 bilhões de cidadãos indianos. Os indianos são praticamente obrigados a se cadastrar na Aadhaar para acessar os serviços públicos. Todas essas informações foram vazadas

3. First American Corporation

  • 885 milhões de registros
  • Abril de 2019
  • Causa: falha no desenvolvimento de aplicativo
Exemplo de informações vazadas da First American Corporation

A empresa de seguros e serviços financeiros vazou dados extremamente sensíveis contendo, por exemplo, informações bancárias detalhadas. Os documentos eram cópias digitalizadas que podiam ser acessadas via o site da empresa firstam.com. Eram documentos destinados à visualização apenas das partes envolvidas em uma transação (em grande parte de compra e venda de imóvel) que estavam acessíveis para qualquer um com o link, apenas alterando um único dígito e sem proteção de login, senha ou duplo fator de autenticação. O desenvolvedor Ben Shoval descobriu a falha da pior maneira possível: após visitar um link de seus próprios documentos.

4. Verifications.io

  • +763 milhões de emails
  • Fevereiro de 2019
  • Causa: banco de dados exposto
Vazamento de dados da Verifications.io

Os 763 milhões de emails foram encontrados por um pesquisador em uma instância MongoDB exposta publicamente. Além dos emails alguns registros continham telefones, nomes e outras informações sensíveis coletadas a partir do serviço de verificação de emails Verifications.io. 

5. Marriot / Starwood

Logo Marriott
  • 500 milhões de pessoas
  • Novembro de 2018
  • Causa: possível infecção de RAT (Remote Access Trojan) por phishing

As informações expostas incluirão nomes, números de passaporte, informações de contato e outras informações pessoais. As informações de cartão de crédito e débito estavam criptografadas, o que não garante que não foram também acessadas. O sistema da Starwood foi invadido em 2014 e o acesso não autorizado permaneceu até depois da compra da Starwood pela Marriot em 2016. A invasão foi descoberta apenas em 2018. As suspeitas são de que um grupo de inteligência contratado pelo governo da China estaria por trás do ataque.

6. FriendFinder

  • 412 milhões de pessoas
  • Outubro de 2016
  • Causa: abertura de rede através de exploit em arquivos locais
Friend Finder sendo avisada sobre vazamento de dados

Foram vazados 6 bancos de dados que incluiam nomes, emails, senhas da empresa que é dona de sites como o Adult Friend Finder, Penthouse.com, Cams.com, iCams.com and Stripshow.com. Entretanto, informações sensíveis como preferências sexuais não foram vazadas como em um incidente em 2015 da mesma empresa que teve 4 milhões de contas expostas. A maioria das senhas estava desprotegida ou contava apenas com um fraco algoritmo de criptografia SHA-1.

7. Microsoft

  • 250 milhões de registros
  • Dezembro de 2019
  • Causa: falha em configurações de segurança em banco de dados
Bob Diachenko agradece Microsof por rápida resposta

Os dados de suporte de 250 milhões de registros estavam amplamente acessíveis para qualquer um através do navegador de internet. Os dados incluíam emails, números de contrato, informações de pagamento, IPs, descrições de casos de suporte e notas internas marcadas como confidenciais. O vazamento foi descoberto em 28 de Dezembro que notificou a Microsoft que então descobriu que um banco de dados Azure interno utilizado para mensuração de analytics de suporte ao consumidor estava com falha na configuração. 

8. Capital One

  • 106 milhões de registros
  • Março de 2019
  • Causa: falha em configurações de segurança em firewalls Amazon
Capital One sendo avisada sobre vazamento de dados

Os dados incluíam números da Previdência Social, seguridade social, contas bancárias, nomes de pessoas, endereços, pontuação de crédito, limites de crédito saldos e outras informações. Uma ex engenheira de software da Amazon, Paige Thompson, teria conseguido acesso explorando um firewall de aplicativos da Web (WAF) configurado incorretamente pela Capital One, um dos maiores bancos dos EUA. Ela também usou os servidores para minerar criptomoeda, “cryptojacking”, e finalmente acabou expondo os dados, e também sua identidade, no Github sendo denunciada ao FBI. A Capital One calcula entre US $100 milhões e US $150 milhões os custos relacionados ao hack, incluindo notificações de clientes, monitoramento de crédito, custos de tecnologia e suporte legal devido ao hack.

Além destes citados acima muitos outros casos aconteceram em empresas como MySpace, Twitter, Facebook, Linkedin, Adobe, eBay, Quora, Dropbox, Tumblr entre muitas outras.

Se você chegou até aqui já percebeu os estragos que um vazamento de dados pode cause. Estar pronto para lidar com vazamento de dados é hoje parte essencial de qualquer boa gestão da segurança da informação e privacidade, de forma a garantir a continuidade do negócio.

Como GAT pode ajudar com vazamento de dados?

GAT é uma plataforma de gestão de segurança da informação e conformidade. Com GAT é possível implementar frameworks de segurança com visibilidade da evolução da maturidade e aderência à conformidades, realizar a gestão de vulnerabilidades em ativos tecnológicos, pessoas e fornecedores.

Além disso, você pode atribuir risco aos seus ativos de acordo com o contexto do negócio, realizar assessments com envio de questionários à fornecedores que ajudam a conhecer e mitigar seu risco de exposição a vazamento de dados. Agende sua demonstração e entenda como podemos ajudar a sua empresa.

Você também pode curtir isso:

21 mar

Implementação do NIST Cybersecurity Framework (C

28 ago

Indicadores de Segurança da Informação
7 indicadores de Segurança da Informação

16 dez

5 Ferramentas de Segurança para Empresas

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos

Linkedin-in Facebook-f Twitter Instagram Youtube

Conteúdo

Links

×