As violações de dados em 2020 continuaram a atingir as manchetes e a causar consequências devastadoras para organizações em todo o mundo. Desde o início do ano, a pandemia de Covid-19 transformou completamente as nossas vidas e criou um ambiente ideal para ataques cibernéticos e violações de segurança.
Em 2020, até agora, houve tantos como 726 milhões de ataques informáticos , expondo um regozijo ocular 16 mil milhões registos. Embora muitas indústrias tenham sido atacadas, os investigadores de segurança encontraram os sectorda saúde era particularmente vulnerável e foi responsável por 12,3% das violações de dados comunicadas em 2020.
A informação sensível é uma mercadoria valiosa e os cibercriminosos estão interessados em ganhar dinheiro ao expor vulnerabilidades para ganhar dinheiro e cometer actividades fraudulentas. De acordo com a 2020 Verizon Data Breach relatório de investigações86% das violações de dados deste ano foram motivadas por ganhos financeiros, mais 15% do que em 2019.
O relatório concluiu também que phishing ataques, resgates, malware e roubados palavras-passe continuam a ser as principais formas de acesso dos atacantes às redes e sistemas das empresas.
Abaixo estão 5 exemplos de algumas das violações de segurança mais proeminentes de 2020.
As 5 Principais Quebras de Segurança de 2020
1. Marriott
Em Março de 2020, a cadeia de hotéis Marriott anunciou que tinha sofrido um grave incidente de segurança que comprometia os dados de mais de 5,2 milhões de hóspedes. Ao utilizar as credenciais de login de dois empregados, os hackers conseguiram roubar informações sensíveis de uma aplicação de terceiros. As informações pessoais incluíam nomes, moradas, endereços de correio electrónico, números de telefone, informações sobre contas de fidelidade, empresa, sexo, datas de nascimento, programas e números de fidelidade de companhias aéreas ligados, e preferências dos hóspedes.
A empresa declarou que nenhuma informação de pagamento, informação de passaporte, identificação nacional, ou números de carta de condução foram expostos na violação de dados.
Esta é a segunda vez que o Marriott sofre uma quebra de dados no prazo de dois anos. Em Novembro de 2018, os hackers expuseram os dados pessoais de até 500 milhões de convidados. O ICO multou a empresa desde então em 124 milhões de dólares devido a falhas de segurança do sistema. A última falha é susceptível de causar mais danos e minar a confiança dos consumidores na cadeia hoteleira.
2. EasyJet
Em Maio de 2020, EasyJet revelou ter sido o alvo de um ataque cibernético que expôs os endereços de correio electrónico e detalhes de viagem de nove milhões de clientes. A companhia aérea também confirmou que 2.208 clientes tiveram acesso aos detalhes do seu cartão de crédito e aos códigos de segurança da CVV.
Inicialmente, a Easyjet alegou que não existiam provas de que os dados comprometidos do cliente tivessem sido utilizados indevidamente. No entanto, a informação obtida de Fraude de acção sugere que houve relatos de actividade fraudulenta e roubo de identidade como resultado da violação do EasyJet.
Apesar do ataque ocorrido em Janeiro, foram necessários quatro meses para que a companhia aérea divulgasse publicamente a violação dos dados. Ao abrigo do GDPRAs organizações são legalmente obrigadas a comunicar uma violação de dados no prazo de 72 horas após a sua detecção. EasyJet alegou que o atraso no tempo de comunicação se devia à natureza sofisticada do ataque.
É provável que a empresa venha a enfrentar multas significativas pela violação de dados. No entanto, à luz da pandemia de Covid-19, a ICO tem declarou que seria necessária uma abordagem 'empática e proporcional' para avaliar os incidentes relatados. Isto levou à especulação de que a companhia aérea receberia uma multa mais leve devido às crescentes pressões a que a indústria da aviação está actualmente sujeita.
3. MGM Resorts
Em Julho de 2019, a MGM Resorts sofreu uma quebra de segurança maciça depois de um hacker ter tido acesso a um dos servidores de nuvem do hotel. A notícia da violação de dados foi revelada em Fevereiro de 2020, quando hackers divulgou os dados pessoais de 10,6 milhões de hóspedes de hotel na teia escura. Os registos expostos incluíam nomes, endereços de casa, números de telefone, e-mails, e datas de nascimento de antigos hóspedes de hotel. Entre os convidados de alto nível afectados pela violação encontravam-se Justin Bieber, o CEO do Twitter Jack Dorsey, e muitos funcionários de agências governamentais.
Desde então, verificou-se que a fuga de dados era muito maior do que a inicialmente relatada. Os dados pessoais de mais de 142 milhões de convidados apareceram por $2.900 num mercado de cibercrime em linha. A empresa confirmou que notificou os convidados afectados e está confiante de que nenhum dado financeiro, cartão de pagamento ou palavra-passe estava envolvido na violação.
4. Nintendo
Em Abril de 2020, a Nintendo anunciou uma quebra de dados de 160.000 contas. O incidente de segurança foi o resultado de um suspeito ataque de enchimento decredenciais . Utilizando números de identificação e palavras-passe de um ataque cibernético anterior, os hackers conseguiram obter acesso a contas de utilizadores. Isto permitiu-lhes então adquirir itens digitais e visualizar dados sensíveis, incluindo nome, endereço de correio electrónico, data de nascimento, sexo e país.
O gigante do jogo anunciou desde então que mais 140.000 contas foram comprometidas no ataque, elevando o número total de contas pirateadas para 300.000. A empresa redefiniu as palavras-passe para todos os clientes afectados e instou os utilizadores a não utilizarem a mesma palavra-passe em múltiplas contas e serviços.
5. Zoom
Em Abril, verificou-se que a reunião virtual app Zoom tinha sofrido uma quebra de dados que expôs as credenciais de login de mais de 500.000 utilizadores.
Em mais um ataque de enchimento de credenciais, os hackers parecem ter obtido acesso às contas utilizando combinações de nome de utilizador e palavra-passe obtidas em violações de dados anteriores. A informação apareceu para venda em fóruns escuros de hacking na web por apenas 1p.
Os dados comprometidos incluíam credenciais de login, endereços de e-mail, URLs de reuniões pessoais, e chaves de anfitrião. Isto permitiu aos criminosos entrar e participar em reuniões ou utilizar a informação recolhida para outros fins maliciosos.
