5 violações de dados assustadoras que abalaram o mundo

Views: 1116
0 0
Read Time:5 Minute, 30 Second

Bem a tempo do Halloween, olhamos para a realidade assombrosa das violações de dados e destacamos cinco contos que assustaram não só o mundo cibernético

Halloween, o dia mais assustador do ano, está chegando! No entanto, as observações tradicionais do feriado popular podem ser dificultadas pela pandemia que se espalha do lado de fora. Em vez de crianças vagando pelas ruas ostentando fantasias assustadoras ou travessuras ou adultos que participam de festas à fantasia, a Véspera de Todas as Relíquias terá que ser celebrada de outras formas. A maioria de nós provavelmente será empacotada em cobertores no conforto de nossas casas com canecas de bebidas quentes sabor abóbora assistindo histórias misteriosas e horripilantes, ou melhor ainda, contando-lhes.

O mundo cibernético tem muitas histórias assustadoras também. Infelizmente, ao contrário dos contados no Halloween, essas histórias são muito reais.

Equifax

Em 2017, a Equifax, uma das maiores agências de relatórios de crédito dos Estados Unidos, foi vítima de uma surpreendente violação de dados. A violação que durou aproximadamente 78 dias foi causada por uma vulnerabilidade na estrutura de aplicativos web Apache Struts, para a qual um patch havia sido emitido, mas que a Equifax não havia se candidatado a tempo. Os atores de ameaça por trás do incidente foram capazes de sifonar os dados pessoais de quase 148 milhões de americanos, 15,2 milhões de britânicos e quase 19.000 canadenses. Os dados incluíam uma ampla gama de Informações Pessoalmente Identificáveis (PII), incluindo números de segurança social, datas de nascimento e endereços … tudo isso poderia ser usado para conduzir fraudes de identidade. Quanto aos danos monetários causados pela Equifax, a empresa estima que a contagem atual é de cerca de US$ 1,7 bilhão em custos emanado do incidente de cibersegurança.

Marriott

Em 2018, a Marriott International, uma das maiores redes hoteleiras do mundo, sofreu uma grande violação de dados envolvendo seu banco de reservas. Marriot estimou inicialmente que cerca de 500 milhões de seus clientes poderiam ter sido afetados pelo incidente cibernético, mas depois passou a alterar sua estimativa para 383 milhões. As informações do hóspede comprometidas no incidente incluíram alguma combinação de nome, endereço de e-mail, número de telefone, endereço de e-mail, número de passaporte, informações da conta starwood preferred guest (SPG), data de nascimento, sexo, informações de chegada e partida, data de reserva e preferências de comunicação. Em alguns casos, os números do cartão de pagamento e suas datas de validade também foram comprometidos. Os dados comprometidos podem ser usados em uma ampla gama de ataques, incluindo phishing, ataques de engenharia social, fraude de cartão de crédito e fraude de identidade. Até agora, a empresa incorreu em custos de cerca de US$ 72 milhões pela violação, mas US$ 71 milhões foram reembolsados pelo seguro. No entanto, marriott ainda pode estar olhando para uma grande soma em penalidades, uma vez que a autoridade de proteção de dados do Reino Unido está procurando servir a rede hoteleira com uma multa de £ 99 milhões (US$ 123 milhões).

Ebay

Como um dos maiores mercados online do mundo, mais famoso por suas vendas no estilo leilão, o eBay provavelmente precisa de pouco no caminho da introdução. Em 2014, a empresa divulgou que havia sido vítima de um ataque no qual cerca de 145 milhões de usuários ativos foram afetados. De acordo com a empresa,a origem do ataque foi traçada até o comprometimento de um pequeno número de credenciais de login dos funcionários. Os dados comprometidos na violação incluíam o PII dos clientes, como nomes, endereços de e-mail e físicos, números de telefone e datas de nascimento, bem como senhas criptografadas, que poderiam ser usadas em várias formas de ataques cibernéticos e tentativas de fraudar potenciais vítimas.

Target

Em 2013, a Target, uma das maiores varejistas dos Estados Unidos, sofreu uma grande violação de dados que afetou mais de 41 milhões de contas de cartão de pagamento de clientes, bem como as informações de contato de mais de 60 milhões de clientes. Os cibercriminosos por trás do ataque foram capazes de acessar nomes de clientes, números de telefone, endereços de e-mail, números de cartão de crédito e débito e datas de validade, e PINs criptografados e códigos de verificação de cartão de crédito. De acordo com a Target, os códigos PIN foram criptografados com o Padrão de Criptografia de Dados Triplos, o que os tornaria difíceis de quebrar. No entanto, usando as informações coletadas da violação, os cibercriminosos poderiam cometer fraudes de cartão de crédito e fraude de identidade. Após o incidente, a Target ofereceu serviços de monitoramento de crédito e liquidou uma ação coletiva de US$ 10 milhões na qual prometeu pagar até US$ 10.000 a todos os clientes que pudessem provar que sofreram perdas devido à violação de dados. Também teve que pagar um acordo multiestadual de US$ 18,5 milhões.

Adult Friend Finder

Em 2016, a empresa de namoro adulto e entretenimento FriendFinder Network foi violada, expondo mais de 412 milhões de contas de usuários. A enorme violação de dados incluiu 339 milhões de contas do site AdultFriendFinder.com, bem como 15 milhões de contas excluídas que não tinham sido eliminadas de seus bancos de dados. Os dados consistiam em 20 anos de registros dos maiores sites da empresa e incluíam nomes de usuário, endereços de e-mail, senhas, dados de membros do site, informações do navegador, endereço IP usado pela última vez para fazer login e até mesmo se o usuário havia pago por algum item. Vale a pena notar que as senhas, que aparentemente foram convertidas em todas as minúsculas, foram armazenadas no clear ou mexido como um hash SHA-1, que não é uma medida de segurança suficiente e a maioria das senhas foram facilmente e rapidamente quebradas. Embora as pessoas sejam mais liberais nos dias de hoje, elas provavelmente não gostariam de anunciar suas visitas ou atividades em tais sites, com provavelmente mantendo em segredo. Infelizmente, os dados vazados permitiriam que os chapéus negros visassem facilmente esses indivíduos e usassem os dados para arruinar suas reputações, chantageá-los sob a ameaça de revelar informações confidenciais que gostariam de manter escondidas ou usar as senhas rachadas em novos ataques de enmento de credenciais.

Para ter certeza, essas são apenas algumas das histórias assustadoras que o mundo cibernético tem a oferecer. Embora possam ser desconfortáveis de ler, esses incidentes cibernéticos devem servir como contos de advertência tanto para consumidores quanto para empresas – que a segurança cibernética nunca deve ser tomada de ânimo leve.

FONTE: WE LIVE SECURITY

POSTS RELACIONADOS