O número de violações de dados dobrou ou até triplicou ano a ano na última década. Mas não em 2020. O ano que poucas pessoas se lembrarão com carinho viu um declínio significativo nas violações de dados. Neste artigo, analisamos as razões pelas quais as violações de dados em 2020 caíram e as comparamos com o que vimos em 2021.
2020 em cibersegurança, ou “o novo normal”
2020 foi um ano de mudanças. Com base nos relatórios da Risk Based Security , as violações de dados caíram 50% em 2020, após anos de tendências ascendentes. No entanto, isso não ocorre porque os hackers de repente decidiram que a privacidade dos dados é importante. Apesar do declínio nas violações de dados divulgadas publicamente, o número de registros expostos aumentou 141%, de 15 bilhões de registros expostos em 2019 para 37 bilhões em 2020. Lembre-se de que esse número era de “meros” 5 bilhões em 2018.
Não apenas isso, mas as empresas também preferem manter as informações sobre seus incidentes de segurança cibernética e bancos de dados não criptografados em sigilo. Assim, milhares de violações, ou cerca de 50%, nunca divulgam o número de contas expostas. Veremos algumas dessas violações a partir de 2020 a seguir.
Violações de dados recentes (que não divulgaram os números publicamente)
1.923 violações de dados em 2020 não informaram quantos registros foram expostos. Aqui estão três deles:
Clearview AI. Uma das empresas mais controversas do mundo, a Clearview AI, anunciou que sofreu uma violação de dados em fevereiro de 2020. A empresa de reconhecimento facial recebeu muitas críticas por extrair fotos da web para adicionar ao seu banco de dados de 3 bilhões de imagens. Na mesma época, hackers invadiram a rede da Clearview AI e roubaram a lista de clientes da empresa. A Clearview AI não divulgou se outros dados foram roubados.
T-mobile. Quando todos os arquivos relacionados são armazenados na mesma pasta, é muito mais fácil trabalhar com eles. Dessa forma, você não precisa pular de um diretório para outro para encontrar o que está procurando.
Blue Kai. BlueKai, startup de coleta de dados da Oracle, supostamente expôs “bilhões de registros”, incluindo nomes, endereços residenciais, endereços de e-mail e muito mais. Um pesquisador de segurança encontrou o banco de dados desprotegido e relatou à Oracle. Não está claro por quanto tempo o banco de dados ficou desprotegido ou quem acessou esses dados.
Violações de dados recentes também incluem casos como o Garmin do Google. Em julho, a empresa sofreu um ataque de ransomware que derrubou sua infraestrutura por quatro dias. Eventualmente, a empresa cedeu e pagou um resgate de vários milhões para obter a chave de descriptografia. É importante observar que a Garmin é uma das muitas empresas que pagaram resgate por seus dados em 2020 e que, muitas vezes, essas empresas não conseguem saber se os hackers roubaram algo no processo.
Maiores violações de dados em 2020
Com base no relatório Risk Based Security 2020, 23 violações de dados em 2020 expuseram mais de 100 milhões de registros. Infelizmente, as maiores violações do ano expuseram muito mais. Aqui estão as 5 maiores violações que aconteceram em 2020.
Weibo, 538 milhões
A gigante da rede social chinesa Weibo confirmou uma violação de dados depois que anúncios apareceram na dark web vendendo os dados de 538 milhões de usuários. O banco de dados contém os logins dos usuários, bem como nomes reais, localização e sexo. Cerca de 30% das contas também incluem os números de telefone dos usuários.
Whisper, 900 milhões
Whisper é um aplicativo de compartilhamento de segredos, onde as pessoas podem falar anonimamente sobre suas experiências. Em março de 2020, a empresa deixou as confissões de 900 milhões de usuários expostas online. Embora os dados não incluam nomes ou endereços, as postagens e seus metadados, como as coordenadas de localização, podem ter sido suficientes para identificar a pessoa por trás do segredo. A empresa alega ter removido o acesso ao banco de dados, mas não está claro se alguém conseguiu roubar os dados antes de serem protegidos.
Keepnet, 5 bilhões
Em março de 2020, a Keepnet Labs, uma empresa de segurança cibernética do Reino Unido, expôs um banco de dados com 5 bilhões de e-mails e senhas. O banco de dados era uma coleção de informações de violação de dados de 2012 a 2019, ou cerca de 900 gigabytes de dados. Segundo a empresa, terceiros terceirizados responsáveis pela migração do banco de dados desligaram o firewall para agilizar o processo. Embora tenha levado apenas 10 minutos, foi suficiente para o BinaryEdge indexar as informações. De acordo com um pesquisador de segurança, Bob Diachenko, ele encontrou os dados e os baixou por meio de uma “porta desprotegida” para verificar.
AIS, 8 bilhões
Advanced Info Service, ou AIS, é uma operadora de telefonia móvel da Tailândia. Os pesquisadores descobriram que um de seus servidores ElasticSearch contendo 4 terabytes de dados, ou 8,3 bilhões de registros, ficou desprotegido. O AIS admitiu procedimentos falhos, mas disse que o servidor ficou desprotegido por cerca de três semanas e provavelmente nenhuma informação foi roubada. No entanto, igualmente preocupante é o fato de que os pesquisadores alegaram ter contatado a AIS várias vezes antes que a empresa agisse.
CAM4, 10,8 bilhões
Um dos maiores bancos de dados já expostos veio do CAM4, um site de entretenimento adulto lançado em 2007. Os pesquisadores encontraram um servidor ElasticSearch desprotegido que continha 10,88 bilhões de registros, incluindo nomes, orientação sexual, e-mails, IPs, pagamentos, hashes de senha e muito mais — 7 terabytes de dados no total. Não havia sinais de que alguém tenha roubado todos esses dados, mas também não está claro por quanto tempo o servidor ficou desprotegido ou quem o acessou antes que o problema fosse corrigido.
Violações de dados recentes que aconteceram em 2021
Infelizmente, a história familiar de segurança cibernética continua em 2021. Em seis meses, três foram várias grandes violações de dados de mídia social, ataques de ransomware contra a Electronic Arts e o Colonial Pipeline e muito mais.
Embora seja muito cedo para comparar 2020 e 2021 em termos dos maiores incidentes de segurança, se várias violações recentes servirem de indicação, este ano provavelmente será muito semelhante a 2020. Aqui estão as maiores violações de dados em 2021 até agora:
O pesadelo da mídia social (vazamentos do Facebook, Instagram, LinkedIn e Parler)
Na verdade, esses são dois incidentes separados de segurança cibernética, mas ambos aconteceram em 11 de janeiro e, em ambos, milhões de usuários de mídia social tiveram seus dados expostos. O primeiro incluiu pelo menos 214 milhões de contas com nomes de usuário e senhas do Facebook, Instagram e LinkedIn, dados de geolocalização, e-mails, números de telefone e muito mais. Isso aconteceu porque a Socialarks, uma empresa chinesa de gerenciamento de mídia social, deixou um banco de dados desprotegido. No caso do Parler, um hacker roubou 70 TB de dados do usuário, incluindo postagens e mídia.
Facebook e LinkedIn, novamente.
Em abril de 2021, ocorreram duas violações de dados, cada uma expondo mais de 500 milhões de contas. O banco de dados vazado do Facebook continha 533 milhões de dados de contas com senhas, endereços, números, localização e muito mais. E, quase simultaneamente, os pesquisadores encontraram um banco de dados do LinkedIn à venda na dark web com dados pessoais de 500 milhões de contas. De fato, o LinkedIn é uma das piores empresas em termos de segurança cibernética porque seus problemas vão além de 2012, quando dados de mais de 160 milhões de contas vazaram.
Nem sempre é sobre o tamanho
As violações de dados nem sempre são sobre a quantidade de contas. Uma violação de dados que terá um impacto duradouro aconteceu com a SolarWinds. A empresa de software que tem 33.000 clientes empresariais foi hackeada e, para piorar, enviou um patch de segurança com um código malicioso, expondo ainda mais contas. Por causa disso, notícias sobre novas violações de dados conectadas ao SolarWinds continuam surgindo mesmo vários meses após a descoberta do malware.
Independentemente do tipo de ataque, as empresas devem começar a colocar a segurança cibernética na vanguarda de sua estratégia de crescimento. Porque, sem ele, continuaremos a ver ataques cibernéticos que expõem dados pessoais, paralisam cidades e custam milhõe para serem reparados.
Como evitar violações de dados?
Proteger bancos de dados online não é pouca coisa. Eles contêm muitas informações e são muito procurados por hackers. Então, como você evita uma violação de dados? Embora não possamos dar uma resposta definitiva e universal, há uma constante que você nunca deve esquecer: os hackers quase sempre escolhem o alvo mais fácil. Não deixe seu banco de dados se tornar isso.
Não corte cantos. A cibersegurança é tão forte quanto seu componente mais fraco. Se você for construir uma cidadela para os dados coletados, certifique-se de não deixar janelas abertas.
Sempre proteja seus dados com senha. Surpreendentemente, muitas empresas ainda deixam seus bancos de dados desprotegidos. Use senhas, autenticação multifator ou o que você precisar e criptografe os dados de seus usuários.
Limite a coleta de dados. Você não pode expor o que não coleciona. É simples assim.
Promova a educação. Algumas pessoas nunca ouviram termos como “engenharia social” e nunca poderiam imaginar que o entregador que perambula pelos seus escritórios é na verdade um hacker disfarçado. Ensine as pessoas em sua empresa a proteger seus dispositivos físicos e contas online.
Estabeleça diretrizes claras. Já mencionamos não cortar custos, mas há apenas uma maneira de garantir que esse seja o caso – diretrizes e procedimentos de segurança cibernética claros e diretos. A segurança cibernética geralmente se resume a uma lista de verificação, portanto, verifique se a sua está clara.
