As violações de dados continuam a ser manchetes e causam consequências graves para as organizações de todo o mundo. Os recentes acontecimentos globais transformaram a forma como vivemos e trabalhamos, criando um ambiente propício para ataques cibernéticos e violações de segurança.
Os ataques cibernéticos ascendem a centenas de milhões anualmente, expondo milhares de milhões de registos. Embora muitos setores enfrentem ameaças, setores como o da saúde continuam a ser especialmente vulneráveis e representam frequentemente uma parte significativa das violações de dados reportadas.
As informações confidenciais são um ativo valioso, e os cibercriminosos exploram vulnerabilidades para roubar dados para obter ganhos financeiros e atividades fraudulentas. Estudos mostram que a maioria das violações de dados tem motivação financeira, sendo os ataques de phishing, ransomware, malware e credenciais roubadas os principais métodos utilizados pelos atacantes para se infiltrarem em redes e sistemas.
Abaixo estão cinco exemplos de algumas das violações de segurança mais notáveis recentes.
As 5 principais violações de segurança
1. Marriott
Em Março de 2020, a cadeia de hotéis Marriott anunciou que tinha sofrido um grave incidente de segurança que comprometia os dados de mais de 5,2 milhões de hóspedes. Ao utilizar as credenciais de login de dois empregados, os hackers conseguiram roubar informações sensíveis de uma aplicação de terceiros. As informações pessoais incluíam nomes, moradas, endereços de correio electrónico, números de telefone, informações sobre contas de fidelidade, empresa, sexo, datas de nascimento, programas e números de fidelidade de companhias aéreas ligados, e preferências dos hóspedes.
A empresa declarou que nenhuma informação de pagamento, informação de passaporte, identificação nacional, ou números de carta de condução foram expostos na violação de dados.
Esta é a segunda vez que a Marriott sofre uma violação de dados no espaço de dois anos. Em novembro de 2018, os piratas informáticos expuseram os dados pessoais de cerca de 500 milhões de hóspedes. O ICO multou a empresa em 124 milhões de dólares devido a falhas na segurança do sistema. A última violação é suscetível de causar mais danos e minar a confiança dos consumidores na cadeia de hotéis.
2. EasyJet
Em Maio de 2020, EasyJet revelou ter sido o alvo de um ataque cibernético que expôs os endereços de correio electrónico e detalhes de viagem de nove milhões de clientes. A companhia aérea também confirmou que 2.208 clientes tiveram acesso aos detalhes do seu cartão de crédito e aos códigos de segurança da CVV.
Inicialmente, a Easyjet alegou que não existiam provas de que os dados comprometidos do cliente tivessem sido utilizados indevidamente. No entanto, a informação obtida de Fraude de acção sugere que houve relatos de actividade fraudulenta e roubo de identidade como resultado da violação do EasyJet.
Apesar do ataque ocorrido em Janeiro, foram necessários quatro meses para que a companhia aérea divulgasse publicamente a violação dos dados. Ao abrigo do GDPR as organizações são legalmente obrigadas a comunicar uma violação de dados no prazo de 72 horas após a sua detecção. EasyJet alegou que o atraso no tempo de comunicação se devia à natureza sofisticada do ataque.
É provável que a empresa tenha de pagar coimas significativas pela violação de dados. No entanto, à luz da pandemia de Covid-19, o ICO declarou que adoptaria uma abordagem "empática e proporcional" para avaliar os incidentes comunicados. Isto levou à especulação de que a companhia aérea receberá uma multa mais leve devido às crescentes pressões a que o sector da aviação está atualmente sujeito.
3. MGM Resorts
Em julho de 2019, a MGM Resorts sofreu uma enorme violação de segurança depois de um hacker ter obtido acesso a um dos servidores em nuvem do hotel. A notícia da violação de dados foi revelada em fevereiro de 2020, quando piratas informáticos divulgaram na dark web os dados pessoais de 10,6 milhões de hóspedes do hotel. Os registos expostos incluíam nomes, endereços residenciais, números de telefone, e-mails e datas de nascimento de antigos hóspedes do hotel. Entre os hóspedes de alto nível afectados pela violação de dados encontravam-se Justin Bieber, o CEO do Twitter, Jack Dorsey, e muitos funcionários de agências governamentais.
Desde então, verificou-se que a fuga de dados era muito maior do que a inicialmente relatada. Os dados pessoais de mais de 142 milhões de convidados apareceram por $2.900 num mercado de cibercrime em linha. A empresa confirmou que notificou os convidados afectados e está confiante de que nenhum dado financeiro, cartão de pagamento ou palavra-passe estava envolvido na violação.
4. Nintendo
Em Abril de 2020, a Nintendo anunciou uma quebra de dados de 160.000 contas. O incidente de segurança foi o resultado de um suspeito ataque de enchimento decredenciais . Utilizando números de identificação e palavras-passe de um ataque cibernético anterior, os hackers conseguiram obter acesso a contas de utilizadores. Isto permitiu-lhes então adquirir itens digitais e visualizar dados sensíveis, incluindo nome, endereço de correio electrónico, data de nascimento, sexo e país.
O gigante do jogo anunciou desde então que mais 140.000 contas foram comprometidas no ataque, elevando o número total de contas pirateadas para 300.000. A empresa redefiniu as palavras-passe para todos os clientes afectados e instou os utilizadores a não utilizarem a mesma palavra-passe em múltiplas contas e serviços.
5. Zoom
Em abril de 2020, descobriu-se que a aplicação de reuniões virtuais Zoom sofreu uma violação de dados que expôs as credenciais de login de mais de 500.000 utilizadores.
Em mais um ataque de enchimento de credenciais, os hackers parecem ter obtido acesso às contas utilizando combinações de nome de utilizador e palavra-passe obtidas em violações de dados anteriores. A informação apareceu para venda em fóruns escuros de hacking na web por apenas 1p.
Os dados comprometidos incluíam credenciais de login, endereços de e-mail, URLs de reuniões pessoais, e chaves de anfitrião. Isto permitiu aos criminosos entrar e participar em reuniões ou utilizar a informação recolhida para outros fins maliciosos.
