As violações de dados em 2020 continuaram a atingir as manchetes e a causar consequências devastadoras para organizações em todo o mundo. Desde o início do ano, a pandemia de Covid-19 transformou completamente as nossas vidas e criou um ambiente ideal para ataques cibernéticos e violações de segurança.
Em 2020, até agora, houve tantos como 726 milhões de ataques informáticos, expondo um regozijo ocular 16 mil milhões registos. Embora muitas indústrias tenham sido atacadas, os investigadores de segurança encontraram os sectorda saúde era particularmente vulnerável e foi responsável por 12,3% das violações de dados comunicadas em 2020.
A informação sensível é uma mercadoria valiosa e os cibercriminosos estão interessados em ganhar dinheiro ao expor vulnerabilidades para ganhar dinheiro e cometer actividades fraudulentas. De acordo com a 2020 Verizon Data Breach relatório de investigações 86% das violações de dados deste ano foram motivadas por ganhos financeiros, mais 15% do que em 2019.
O relatório também concluiu que ataques de phishing, ransomware, malware e roubo de palavras-passe continuam a ser as principais formas de os atacantes acederem às redes e sistemas das empresas.
Abaixo estão 5 exemplos de algumas das violações de segurança mais proeminentes de 2020.
As 5 Security Breaches mais importantes de 2020
1. Marriott
Em Março de 2020, a cadeia de hotéis Marriott anunciou que tinha sofrido um grave incidente de segurança que comprometia os dados de mais de 5,2 milhões de hóspedes. Ao utilizar as credenciais de login de dois empregados, os hackers conseguiram roubar informações sensíveis de uma aplicação de terceiros. As informações pessoais incluíam nomes, moradas, endereços de correio electrónico, números de telefone, informações sobre contas de fidelidade, empresa, sexo, datas de nascimento, programas e números de fidelidade de companhias aéreas ligados, e preferências dos hóspedes.
A empresa declarou que nenhuma informação de pagamento, informação de passaporte, identificação nacional, ou números de carta de condução foram expostos na violação de dados.
Esta é a segunda vez que a Marriott sofre uma violação de dados no espaço de dois anos. Em novembro de 2018, os piratas informáticos expuseram os dados pessoais de cerca de 500 milhões de hóspedes. O ICO multou a empresa em 124 milhões de dólares devido a falhas na segurança do sistema. A última violação é suscetível de causar mais danos e minar a confiança dos consumidores na cadeia de hotéis.
2. EasyJet
Em Maio de 2020, EasyJet revelou ter sido o alvo de um ataque cibernético que expôs os endereços de correio electrónico e detalhes de viagem de nove milhões de clientes. A companhia aérea também confirmou que 2.208 clientes tiveram acesso aos detalhes do seu cartão de crédito e aos códigos de segurança da CVV.
Inicialmente, a Easyjet alegou que não existiam provas de que os dados comprometidos do cliente tivessem sido utilizados indevidamente. No entanto, a informação obtida de Fraude de acção sugere que houve relatos de actividade fraudulenta e roubo de identidade como resultado da violação do EasyJet.
Apesar do ataque ocorrido em Janeiro, foram necessários quatro meses para que a companhia aérea divulgasse publicamente a violação dos dados. Ao abrigo do GDPR as organizações são legalmente obrigadas a comunicar uma violação de dados no prazo de 72 horas após a sua detecção. EasyJet alegou que o atraso no tempo de comunicação se devia à natureza sofisticada do ataque.
É provável que a empresa tenha de pagar coimas significativas pela violação de dados. No entanto, à luz da pandemia de Covid-19, o ICO declarou que adoptaria uma abordagem "empática e proporcional" para avaliar os incidentes comunicados. Isto levou à especulação de que a companhia aérea receberá uma multa mais leve devido às crescentes pressões a que o sector da aviação está atualmente sujeito.
3. MGM Resorts
Em julho de 2019, a MGM Resorts sofreu uma enorme violação de segurança depois de um hacker ter obtido acesso a um dos servidores em nuvem do hotel. A notícia da violação de dados foi revelada em fevereiro de 2020, quando piratas informáticos divulgaram na dark web os dados pessoais de 10,6 milhões de hóspedes do hotel. Os registos expostos incluíam nomes, endereços residenciais, números de telefone, e-mails e datas de nascimento de antigos hóspedes do hotel. Entre os hóspedes de alto nível afectados pela violação de dados encontravam-se Justin Bieber, o CEO do Twitter, Jack Dorsey, e muitos funcionários de agências governamentais.
Desde então, verificou-se que a fuga de dados era muito maior do que a inicialmente relatada. Os dados pessoais de mais de 142 milhões de convidados apareceram por $2.900 num mercado de cibercrime em linha. A empresa confirmou que notificou os convidados afectados e está confiante de que nenhum dado financeiro, cartão de pagamento ou palavra-passe estava envolvido na violação.
4. Nintendo
Em Abril de 2020, a Nintendo anunciou uma quebra de dados de 160.000 contas. O incidente de segurança foi o resultado de um suspeito ataque de enchimento decredenciais . Utilizando números de identificação e palavras-passe de um ataque cibernético anterior, os hackers conseguiram obter acesso a contas de utilizadores. Isto permitiu-lhes então adquirir itens digitais e visualizar dados sensíveis, incluindo nome, endereço de correio electrónico, data de nascimento, sexo e país.
O gigante do jogo anunciou desde então que mais 140.000 contas foram comprometidas no ataque, elevando o número total de contas pirateadas para 300.000. A empresa redefiniu as palavras-passe para todos os clientes afectados e instou os utilizadores a não utilizarem a mesma palavra-passe em múltiplas contas e serviços.
5. Zoom
Em Abril, verificou-se que a reunião virtual app Zoom tinha sofrido uma quebra de dados que expôs as credenciais de login de mais de 500.000 utilizadores.
Em mais um ataque de enchimento de credenciais, os hackers parecem ter obtido acesso às contas utilizando combinações de nome de utilizador e palavra-passe obtidas em violações de dados anteriores. A informação apareceu para venda em fóruns escuros de hacking na web por apenas 1p.
Os dados comprometidos incluíam credenciais de login, endereços de e-mail, URLs de reuniões pessoais, e chaves de anfitrião. Isto permitiu aos criminosos entrar e participar em reuniões ou utilizar a informação recolhida para outros fins maliciosos.