A história das violações de dados
As violações de dados têm sido cada vez mais comuns e prejudiciais há décadas. Alguns se destacam, no entanto, como exemplos instrutivos de como as violações evoluíram, como os invasores são capazes de orquestrar esses ataques, o que pode ser roubado e o que acontece com os dados após a ocorrência de uma violação.
As violações de dados digitais começaram muito antes do uso generalizado da Internet, mas foram semelhantes em muitos aspectos aos vazamentos que vemos hoje. Um incidente histórico inicial ocorreu em 1984, quando a agência de relatórios de crédito TRW Information Systems (agora Experian) percebeu que um de seus arquivos de banco de dados havia sido violado. O tesouro estava protegido por uma senha numérica que alguém tirou de uma nota administrativa em uma loja da Sears e postou em um “quadro de boletins eletrônico” – uma espécie de Google Doc rudimentar que as pessoas podiam acessar e alterar usando sua conexão de telefone fixo. A partir daí, qualquer pessoa que soubesse visualizar o quadro de avisos poderia ter usado a senha para acessar os dados armazenados no arquivo TRW: dados pessoais e históricos de crédito de 90 milhões de americanos. A senha foi exposta por um mês. Na época, a TRW disse que alterou a senha do banco de dados assim que soube da situação. Embora o incidente seja ofuscado pela violação do ano passado da agência de relatórios de crédito Equifax (discutida abaixo), o lapso do TRW foi um aviso para as empresas de dados em todos os lugares – um que muitos claramente não prestaram atenção.
Violações em grande escala como o incidente TRW ocorreram esporadicamente com o passar dos anos e a internet amadureceu. No início dos anos 2010, à medida que os dispositivos móveis e a Internet das Coisas expandiram bastante a interconectividade, o problema das violações de dados tornou-se especialmente urgente. Roubar pares de nome de usuário/senha ou números de cartão de crédito – até mesmo violar uma grande quantidade de dados agregados de fontes já públicas – pode dar aos invasores as chaves para toda a vida online de alguém. E certas violações, em particular, ajudaram a alimentar uma crescente economia da dark web de dados roubados de usuários.
Um desses incidentes foi uma violação do LinkedIn em 2012 que inicialmente parecia expor 6,5 milhões senhas. Os dados foram codificados em hash, ou criptograficamente embaralhados, como uma proteção para torná-los ininteligíveis e, portanto, difíceis de reutilizar, mas os hackers rapidamente começaram a “quebrar” os hashes para expor as senhas reais dos usuários do LinkedIn. Embora o próprio LinkedIn tenha tomado precauções para redefinir as senhas das contas afetadas, os invasores ainda obtiveram muita vantagem ao encontrar outras contas na Web onde os usuários reutilizaram a mesma senha. A falta de higiene de senha tão comum significa que uma única violação pode assombrar os usuários por anos. Em 2016, um hacker conhecido como “Peace” começou a vender informações de contas, principalmente endereços de e-mail e senhas, de 117 milhões de usuários do LinkedIn. Os dados roubados da violação do LinkedIn foram reaproveitados e revendidos por criminosos desde então, e os invasores ainda têm algum sucesso explorando os dados até hoje, já que muitas pessoas reutilizam as mesmas senhas em várias contas há anos.
As violações de dados não se tornaram realmente motivo de mesa de jantar, até o final de 2013 e 2014, quando os grandes varejistas Target, Neiman Marcus e Home Depot sofreram violações maciças uma após a outra. O hack da Target, divulgado publicamente pela primeira vez em dezembro de 2013, impactou as informações pessoais (como nomes, endereços, números de telefone e endereços de e-mail) de 70 milhões de americanos e comprometeu 40 milhões de números de cartão de crédito. Apenas algumas semanas depois, em janeiro de 2014, a Neiman Marcus admitiu que seus sistemas de ponto de venda foram atingidos pelo mesmo malware que infectou a Target, expondo as informações de cerca de 110 milhões de clientes da Neiman Marcus, juntamente com 1,1 milhão de crédito e débito números do cartão. Então, após meses de consequências dessas duas violações, a Home Depot anunciou em setembro de 2014 que hackers haviam roubado 56 milhões de números de cartões de crédito e débito de seus sistemas instalando malware nos terminais de pagamento da empresa.
Um ataque ainda mais devastador e sinistro estava ocorrendo ao mesmo tempo. O Office of Personnel Management é o departamento administrativo e de RH para funcionários do governo dos EUA. O departamento gerencia as autorizações de segurança, realiza verificações de antecedentes e mantém registros de todos os funcionários federais anteriores e atuais. Se você quer saber o que está acontecendo dentro do governo dos EUA, este é o departamento para hackear. Foi o que a China fez.
Hackers ligados ao governo chinês se infiltraram na rede do OPM duas vezes, primeiro roubando os projetos técnicos da rede em 2013, depois iniciando um segundo ataque logo depois, no qual eles ganharam o controle do servidor administrativo que gerenciava a autenticação para todos os outros logins do servidor. Em outras palavras, quando o OPM percebeu completamente o que havia acontecido e agiu para remover os intrusos em 2015, os hackers conseguiram roubar dezenas de milhões de registros detalhados sobre todos os aspectos da vida dos funcionários federais, incluindo 21,5 milhões de números do Seguro Social. e 5,6 milhões de registros de impressões digitais. Em alguns casos, as vítimas nem eram funcionários federais, mas estavam simplesmente ligadas de alguma forma a funcionários do governo que haviam passado por verificações de antecedentes. (Essas verificações incluem todos os tipos de informações extremamente específicas, como mapas da família, amigos, associados e filhos de um sujeito.)
