Todos os anos, milhões de pessoas são vítimas de numerosas violações de dados, segundo a Kaspersky Lab. E os resultados destes roubos são extremamente negativos: os hackers vendem a informação bancária dos utilizadores em páginas web ilegais, as empresas têm que pagar enormes somas de dinheiro para reparar os prejuízos dos seus clientes e os consumidores perdem dinheiro.
A Kaspersky Lab fez uma compilação dos casos de violação de dados mais importantes de 2014, que provocaram a fuga de informação pessoal de alguns clientes, e trouxeram a lume algumas revelações interessantes sobre o preço destes dados e as consequências para a reputação das empresas visadas.
Retalhistas em perigo
As grandes cadeias retalhistas são um verdadeiro “prémio” para os hackers, já que armazenam milhões de registos com dados de clientes. E o ano de 2014 não foi uma excepção quanto aos ciberataques a este grupo específico de empresas. Ao que tudo indica (embora não se saiba com exactidão) que um mesmo grupo atacou três grandes cadeias de retalho: o gigante Target (foi roubado em 70 milhões de ficheiros com dados bancários, números de telefone, emails e outros dados), o fornecedor de produtos de beleza Sally Beauty (25.000 dados roubados) e o retalhista de produtos para o lar Home Depot (roubados os dados bancários de 56 milhões de cartões e 53 milhões de emails).
O caso da violação de dados a Sally Beauty teve contornos inesperados quando os próprios hackers foram atacados. Os dados roubados foram postos à venda em várias páginas web do mercado negro e, pouco depois, alguém as atacou e transformou uma das páginas. O “hacker bom” deixou uma mensagem e um vídeo do filme “Men in Black” na página de início do website atacado.
Houve outra violação de dados privados no sector da venda a retalho da qual muito se falou: a fuga massiva dos dados de acesso e de passwords do eBay, que afectou 145 milhões de utilizadores. Como consequência, a empresa tem agora que enfrentar um enorme processo judicial colectivo. De acordo com a revista PC World, só a soma de interesses e custos de todos os queixosos superam os 5 milhões de dólares.
Ninguém está a salvo
Bancos, empresas “pontocom”, fabricantes de equipamentos, empresas de telecomunicações e organismos governamentais,… na verdade todas estão em perigo, inclusive a Sony Pictures, que sofreu uma importante e mediática violação de dados. E são muitas as celebridades que viram as suas fotos roubadas e divulgadas publicamente em 2014, mas a realidade é que esta é só a ponta do icebergue e são muitíssimos mais os casos que existem.
Os bancos de todo o mundo foram um alvo preferencial dos hackers no ano passado. Durante o primeiro mes do ano, foram desviados dados bancários de 20 milhões de clientes do Korea Credit Bureau, com a ajuda de um empregado do banco. Em Fevereiro, o banco britânico Barclays foi atacado: 27.000 ficheiros foram roubados e vendidos. Como resultado, a credibilidade do banco sofreu um revés e teve que indemnizar milhares de clientes cujos dados tinham sido vendidos no mercado negro.
Em Junho, os dados privados de 80 milhões de clientes do banco americano JP Morgan também se viram comprometidos. O banco guardou silêncio durante vários meses e foi preciso chegar a Outubro de 2014 para reportar o incidente.
Como consequência de um ataque importantíssimo que provocou a exposição dos dados de 27 milhões de clientes (80% da população do país), as autoridades da Coreia do Sul estão a avaliar a possibilidade de redesenhar completamente o sistema numérico informático dos documentos de identidade nacional.
As empresas de telecomunicações também tiveram um ano difícil. A Orange, o grupo francês de telecomunicações, foi atacado duas vezes no primeiro trimestre de 2014 e, no total, foram roubados os dados de 1,3 milhões de utilizadores. O pior de tudo foi o facto de os hackers terem comprometido uma plataforma de software que a empresa utiliza para enviar emails promocionais e mensagens de texto aos clientes que se registavam para os receber. Certamente, depois deste incidente, muitos clientes pensarão duas vezes antes de subscrever este tipo de serviços de marketing.
Em Outubro, a AT&T teve que despedir um colaborador demasiado curioso que obteve informação de forma inapropriada sobre as contas de 1.600 clientes, tendo tido acesso aos seus números de Segurança Social e carta de condução.
Também em Outubro, a má sorte chegou à Dropbox, o serviço de armazenamento de ficheiros na nuvem. Os ficheiros de 7 milhões de utilizadores foram desviados e a empresa afirmou que os dados de início de sessão foram roubados através de páginas web ou aplicações de terceiros.
Talvez por casos como este é que cada vez mais pessoas admitem que não importa o quanto se esforcem as empresas na protecção dos seus servidores – não podem lutar contra a falta de cuidado e desconhecimento dos utilizadores. Continuarão a acontecer mais fugas enquanto combinações como ‘123456’ continuarem a ser usadas como as passwords mais utilizadas.
Quanto valem os dados?
Segundo a Kaspersky Lab, embora o negócio da compra e venda de informação confidencial esteja a florescer, o preço de um ficheiro concreto é relativamente baixo. Por exemplo, os ficheiros com dados de utilizadores do serviço de estacionamento Park ‘N Fly do aeroporto, foram vendidos por entre 6 e 9 dólares cada, e incluíam o número de cartão bancário, a data de caducidade, o código de verificação, assim como o nome, a morada e o telefone do titular. Os dados bancários dos clientes do Barclays tinham um preço mais elevado, de até 76 dólares por ficheiro.
O preço da reputação já é um pouco mais alto, especialmente quando a empresa acaba por ter que enfrentar um processo judicial. O Barclays ofereceu 770 dólares em indemnização a cada cliente cujos dados tinham sido roubados, mas muitos deles consideraram esta quantia “insuficiente”. O banco teve que duplicar algumas das compensações aos clientes que se queixaram e pediam mais. Alguns deles foram indemnizados com até 1.520 dólares.
Além da compensação, existem outros gastos associados a uma violação de dados. Por exemplo, a Home Depot investiu num só trimestre 43 milhões de dólares para gerir a fuga de informação. O dinheiro foi gasto em investigações, em oferta aos consumidores de um serviço de protecção de roubo de identidade, no aumento da equipa do centro de atendimento telefónico e em outros serviços legais e profissionais.
Qualquer política de segurança empresarial é apenas tão forte quanto o nível de conhecimento que dos profissionais de segurança TI. Criar uma ‘cultura interna de segurança’, com ênfase num comportamento sensato online, e reforçada por uma formação regular, é um investimento essencial para as empresas que lidam informação financeira sensível.
Comentários