Vê a nossa última publicação sobre as maiores violações de segurança de 2020

2018 foi o ano da violação de dados. Milhares de milhões de pessoas em todo o mundo viram os seus dados pessoais roubados ou expostos, e houve um aumento notável na frequência e gravidade das violações de segurança.

Um recente relatório realizado pela empresa de segurança digital A Gemalto revelou que 945 violações de segurança levaram ao comprometimento de 4,5 mil milhões de registos de dados no primeiro semestre de 2018. Este é o número mais elevado de violações alguma vez registado num único período de seis meses e um aumento de 133% desde o mesmo período do ano passado.

As entidades reguladoras de toda a Europa, incluindo o Information Commissioners Office do Reino Unido, registaram um aumento acentuado do número de violações de dados comunicadas desde que o RGPD entrou em vigor, a25 de maio.

Ao abrigo do RGPD, as organizações são agora obrigadas a comunicar quaisquer violações de dados às autoridades competentes no prazo de 72 horas após a sua deteção, sob pena de enfrentarem pesadas multas que podem ir até 4% do volume de negócios global anual ou 20 milhões de euros.

A nova legislação garantirá maiores níveis de transparência, responsabilidade e responsabilização na forma como as organizações armazenam e utilizam os dados pessoais.

O roubo de identidade é o principal motor de todos os ciberataques e é responsável por 65% das violações e por mais de 3,9 mil milhões de registos de dados comprometidos este ano.

Os hackers externos estão na origem da maioria das violações de dados e o phishing continua a ser o método de ataque número um. 72% das violações de dados estão relacionadas com o facto de os funcionários receberem e-mails de phishing, seguido de perto pela perda acidental de dados.

Clica aqui para leres sobre as maiores violações de segurança de 2020

As 5 principais violações de segurança

As violações de dados afectaram todos os sectores de atividade e todos os cantos do mundo. Segue-se uma lista de 5 exemplos das violações de segurança mais proeminentes que foram notícia este ano:

1. Exactis

Exactis

Numa das maiores violações de segurança da história, a empresa de marketing e agregação de dados Exactis, sediada na Florida, expôs uma base de dados que continha quase 340 milhões de registos individuais.

A violação foi descoberta em junho, quando um investigador de segurança encontrou os dados expostos num servidor desprotegido que permitia o acesso do público. Os dados incluíam 230 milhões de registos de consumidores e 110 milhões de contactos comerciais. O número representava essencialmente todos os adultos nos Estados Unidos da América.

Os dados não continham números de segurança social nem informações sobre cartões de crédito. No entanto, incluíam outros tipos de Informações Pessoais Identificáveis (IPI), como números de telefone, endereços residenciais e endereços de e-mail. Todas as informações necessárias para um criminoso cometer roubo de identidade.

Cada registo de consumidor continha também mais de 400 variáveis que podiam ser utilizadas para construir um perfil pessoal detalhado do indivíduo. Incluía informações como passatempos, hábitos de compra, estado civil, afiliações religiosas e políticas, vícios e posse de animais de estimação.

Clica aqui para ler as cinco melhores práticas para evitar uma violação de dados

2. Facebook

Facebook

Em setembro de 2018, O Facebook anunciou que um ataque à sua rede informática expôs os dados pessoais de mais de 50 milhões de utilizadores. De acordo com o Facebook, os piratas informáticos conseguiram aceder ao sistema explorando uma vulnerabilidade no código utilizado para a funcionalidade “Ver como”.

Uma vez que esta funcionalidade foi explorada, os atacantes foram capazes de roubar “tokens de acesso”, que poderiam ser usados para assumir as contas dos utilizadores e obter acesso a outros serviços. A violação também afectou aplicações de terceiros ligadas ao Facebook e, como medida de precaução, a empresa retirou 90 milhões de utilizadores das suas contas e redefiniu os tokens de acesso.

A violação de segurança é a maior nos 14 anos de história da empresa e foi o culminar de um ano muito turbulento em que a empresa lidou com as consequências do escândalo da Cambridge Analytica e com as alegações de que a plataforma foi utilizada em campanhas de desinformação russas.

A Comissão de Proteção de Dados irlandesa abriu posteriormente uma investigação formal sobre a violação, que poderá resultar numa multa até 1,63 mil milhões de dólares para o gigante das redes sociais.

3. Cathay Pacific

Cathay Pacific

A companhia aérea Cathay Pacific, sediada em Hong Kong, sofreu a maior violação da segurança aérea do mundo, depois de terem sido expostos os dados de cerca de 9,4 milhões de passageiros.

A violação foi anunciada em outubro, mas ocorreu em março deste ano, quando os piratas informáticos tiveram acesso a 860 000 números de passaportes, 245 000 números de bilhetes de identidade de Hong Kong, 403 números de cartões de crédito caducados e 27 números de cartões sem códigos de verificação CVV.

Os dados completos expostos na violação incluíam os nomes dos passageiros, a nacionalidade, a data de nascimento, a morada, o número de telefone, o endereço de correio eletrónico, o número do passaporte, o número do bilhete de identidade, o número de membro do programa de passageiro frequente, os comentários do serviço de apoio ao cliente registados nas contas e o histórico de viagens.

A companhia aérea foi fortemente criticada pelo atraso de sete meses na comunicação da violação e o Comissário para a Proteção da Vida Privada de Hong Kong lançou entretanto uma investigação sobre a conformidade, afirmando que a transportadora poderá ter violado as regras de proteção da vida privada.

4. Dixons Carphone

Dixons Carphone

Em junho de 2018, A Dixons Carphone revelou uma grande violação de dados que envolveu 5,9 milhões de cartões bancários e os dados pessoais de cerca de 10 milhões de clientes. Os dados pirateados incluíam nomes, moradas e endereços de correio eletrónico.

O retalhista de produtos electrónicos anunciou que, durante uma análise dos seus sistemas, descobriu uma tentativa de obter acesso não autorizado a 5,9 milhões de cartões num dos sistemas de processamento da Currys PC World e da Dixons Travel Stores.

O grupo afirmou que não havia provas de fraude, uma vez que a maioria dos cartões estava protegida por sistemas de chip e pin e de valor de verificação do cartão (CVV), mas cerca de 105 000 cartões de países terceiros sem chip e pin foram comprometidos no ataque.

Quando o grupo comunicou a violação pela primeira vez, estimou que os dados de 1,2 milhões de clientes tinham sido comprometidos, mas o número aumentou para dez vezes mais do que se pensava inicialmente.

Clica aqui para leres sobre a violação de dados da Dixons Carphone que afecta 5,9 milhões de clientes

5. British Airways

British Airways

Em mais um ataque à indústria da aviação, A British Airways anunciou que uma grave violação de segurança expôs os dados pessoais de 380 000 clientes. A companhia aérea confirmou que, durante um período de duas semanas, os dados pessoais e financeiros dos clientes que efectuaram ou alteraram reservas foram comprometidos.

A violação ocorreu entre 21 de agosto e 5 de setembro de 2018 e, durante este período, os piratas informáticos conseguiram aceder a nomes, moradas, endereços de correio eletrónico, números de cartões de crédito, datas de validade e códigos de segurança. Os dados relativos a viagens e passaportes não foram afectados pela violação.

A companhia aérea revelou recentemente que os dados de mais 185 000 clientes que efectuaram reservas de prémios entre 21 de abril e 28 de julho também foram expostos, elevando o número total de clientes afectados para 565 000.

Artigos relacionados

Como proteger a tua empresa de uma violação de dados

Cinco mitos sobre cibersegurança que colocam a tua empresa em risco

7 hábitos cibernéticos para organizações de médio porte

Conscientização sobre segurança cibernética para leigos