Apenas a tempo para o Halloween, nós olhamos para a assombrosa realidade de violações de dados e destacar cinco contos que assustou não só o mundo cibernético
dia das bruxas, o dia mais assustador do ano, está sobre nós! No entanto, as observações tradicionais do feriado popular podem ser impedidas pela pandemia que assola o exterior. Em vez de crianças a vaguear pelas ruas com trajes assustadores ou adultos a assistir a festas de máscaras, a véspera de todos os Santos terá de ser celebrada de outras formas., A maioria de nós provavelmente será empacotado em cobertores no conforto de nossas casas com canecas de bebidas quentes com sabor a abóbora assistindo eerie e histórias horripilantes, ou melhor ainda, contando-lhes.
O mundo cibernético também tem muitas histórias assustadoras. Infelizmente, ao contrário do que se conta no Halloween, estas histórias são muito reais.
Equifax
em 2017, a Equifax, uma das maiores agências de Relato de crédito dos Estados Unidos, foi vítima de uma surpreendente violação de dados., A brecha que durou aproximadamente 78 dias foi causada por uma vulnerabilidade no Apache Struts web application framework, para a qual um patch havia sido emitido, mas que Equifax não tinha sido aplicado a tempo. Os atores da ameaça por trás do incidente foram capazes de extrair os dados pessoais de quase 148 milhões de americanos, 15,2 milhões de britânicos e quase 19 mil Canadenses. Os dados analisados incluíam uma vasta gama de informações de identificação pessoal (PII), incluindo números de segurança social, datas de nascimento e endereços … todos eles poderiam ser utilizados para conduzir a fraude de identidade., Quanto aos danos monetários incorridos pela Equifax, a empresa estima que a contagem atual é de cerca de US$1,7 bilhões em custos provenientes do incidente da cibersegurança.em 2018, A Marriott International, uma das maiores cadeias hoteleiras do mundo, sofreu uma grande quebra de dados envolvendo sua base de dados de reservas. Inicialmente, a Marriot estimou que cerca de 500 milhões de seus clientes poderiam ter sido afetados pelo ciber-incidente, mas depois alterou sua estimativa para 383 milhões., As informações comprometidas no incidente incluíram alguma combinação de nome, endereço de correio, número de telefone, endereço de E-mail, número de passaporte, informações da Conta Starwood Preferred Guest (SPG), data de nascimento, sexo, Informações de chegada e Partida, Data de reserva e preferências de comunicação. Em alguns casos, os números dos cartões de pagamento e suas datas de validade também foram comprometidos. Os dados comprometidos podem ser usados em uma ampla gama de ataques, incluindo phishing, ataques de engenharia social, fraude de cartão de crédito e fraude de identidade., Até agora, a empresa tem incorrido em custos de cerca de US$72 milhões pela violação, mas US$71 milhões foram reembolsados pelo seguro. No entanto, o Marriott pode ainda estar a olhar para um montante elevado em sanções, uma vez que a Autoridade de protecção de dados do Reino Unido está a procurar servir a cadeia hoteleira com uma multa de 99 milhões de libras (123 milhões de dólares).
eBay
como um dos maiores mercados on-line do mundo, mais famoso por suas vendas em leilão, eBay provavelmente precisa de pouco na forma de introdução., Em 2014, a empresa revelou que havia sido vítima de um ataque no qual 145 milhões de usuários ativos foram afetados. De acordo com a empresa, a origem do ataque foi rastreada até o compromisso de um pequeno número de credenciais de login dos funcionários. Os dados comprometidos na violação incluíam o PII dos clientes, tais como nomes, e-mails e endereços físicos, números de telefone e datas de nascimento, bem como senhas criptografadas, todas as quais poderiam ser usadas em várias formas de ciberataques e tentativas de defraudar potenciais vítimas.,em 2013, o Target, um dos maiores varejistas dos Estados Unidos, sofreu uma grande quebra de dados que afetou mais de 41 milhões de contas de cartão de pagamento de clientes, bem como a informação de contato de mais de 60 milhões de clientes. Os criminosos cibernéticos por trás do ataque foram capazes de acessar os nomes dos clientes, números de telefone, endereços de E-mail, números de cartão de crédito e débito e datas de expiração, e PINs criptografados e códigos de verificação de cartão de crédito. De acordo com o alvo, os códigos PIN foram encriptados com o padrão de encriptação de dados triplos, o que os tornaria difíceis de decifrar., No entanto, usando as informações recolhidas da violação, os criminosos cibernéticos poderiam cometer fraude de cartão de crédito e fraude de identidade. No rescaldo do incidente, a Target ofereceu serviços de monitoramento de crédito e resolveu um processo de ação coletiva de US$10 milhões em que prometeu pagar até US$10.000 a qualquer cliente que pudesse provar que sofreu perdas devido à quebra de dados. Ele também teve que pagar um acordo multi-Estatal de US$18,5 milhões.em 2016, A adult dating and entertainment company FriendFinder Network foi violada, expondo mais de 412 milhões de contas de usuário., A enorme violação de dados incluiu 339 milhões de contas do AdultFriendFinder.com site, bem como 15 milhões de contas deletadas que não foram eliminadas de suas bases de dados. O trove de dados consistia de 20 anos de registros dos maiores sites da empresa e incluía nomes de usuário, endereços de E-mail, senhas, dados de membros do site, informações de navegador, endereço IP usado pela última vez para login, e até mesmo se o usuário tinha pago por quaisquer itens., Vale a pena notar que as senhas, que aparentemente tinham sido convertidas para todas as minúsculas, foram armazenadas no claro ou misturadas como uma hash SHA-1, o que não é uma medida de segurança suficiente e a maioria das senhas foram facilmente e rapidamente rachadas. Enquanto as pessoas são mais liberais nos dias de hoje, eles provavelmente não gostariam de anunciar suas visitas ou atividades em tais sites com muito provavelmente mantê-lo em segredo., Infelizmente, o vazamento de dados permitiria chapéus pretos facilmente destino desses indivíduos e utilizar os dados para arruinar a sua reputação, chantagem-los sob a ameaça de revelar informações confidenciais que eles gostariam de manter-se oculta, ou usar a senha descobertas em mais de credencial-recheio de ataques.
para ter certeza, estas são apenas algumas das histórias assustadoras que o cyber-mundo tem para oferecer. Embora possam ser desconfortáveis de ler, esses ciber-incidentes devem servir de contos de advertência tanto para os consumidores quanto para as empresas – que a cibersegurança nunca deve ser tomada de ânimo leve.