Violações de dados que afetam milhões de usuários são mais comuns do que gostaríamos, e infelizmente uma realidade contínua no mercado, que atinge várias empresas. O século 21 começou há duas décadas, mas já foi tempo suficiente para mostrar algumas das maiores e mais graves quebras de segurança de informação de todos os tempos.

No início dos anos 2000 uma violação que comprometesse os dados de alguns milhões de pessoas costumava ser uma grande notícia. Agora, mais atualmente, as violações que afetam centenas de milhões ou mesmo bilhões de pessoas são bem mais comuns, e às vezes passam desapercebidas na mídia. Mesmo assim, cerca de 3,5 bilhões de pessoas viram suas informações pessoais roubadas em somente duas das principais violações de segurança de dados ocorridas neste século. Considerando uma lista das principais violações desde o ano 2000, o menor incidente do grupo envolveu os dados de ‘apenas’ 134 milhões de pessoas.

O CSO, site inglês especializado em tecnologia, criou uma lista com as 15 maiores violações do século XXI usando critérios simples, com por exemplo o número de pessoas cujos dados foram comprometidos. Também foram analisados os casos em que os dados foram roubados com intenção maliciosa e aqueles em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. O Twitter, por exemplo, deixou as senhas de seus 330 milhões de usuários desmascaradas em um log, mas não havia evidências de uso indevido, por isso o Twitter não entrou nessa lista.

Aqui estão, listadas em ordem alfabética, as empresas afetadas nas 15 maiores violações de dados do século 21:

1. Adobe
2. Adult Friend Finder
3. Canva
4. Dubsmash
5. eBay
6. Equifax
7. Heartland Payment Systems
8. LinkedIn
9. Marriott International
10. My Fitness Pal
11. MySpace
12. NetEase
13. Sina Weibo
14. Yahoo
15. Zynga

Vamos analisar alguns casos para entender o impacto que este tipo de problema pode trazer:

Adobe
Data: outubro de 2013
Impacto: 153 milhões de registros de usuários
No início de outubro de 2013, a Adobe relatou originalmente que os hackers haviam roubado quase 3 milhões de registros criptografados de cartões de crédito de clientes, além de dados de login para um número indeterminado de contas de usuários.

Mais tarde naquele mês, a Adobe aumentou essa estimativa para incluir IDs e senhas criptografadas para 38 milhões de “usuários ativos”. Um arquivo postado poucos dias antes “parece incluir mais de 150 milhões de pares de nome de usuário e senha com hash retirados da Adobe”. Semanas de pesquisa mostraram que o hack também expôs nomes de clientes, IDs, senhas e informações de cartão de crédito e débito.

Um acordo em agosto de 2015 exigia que a Adobe pagasse US $ 1,1 milhão em taxas legais e uma quantia não revelada aos usuários para resolver reivindicações de violação da Lei de Registros do Cliente e práticas comerciais injustas. Em novembro de 2016, o valor pago aos clientes foi reportado em $ 1 milhão.

eBay
Data: maio de 2014
Impacto: 145 milhões de usuários
Detalhes: o eBay relatou que um ataque expôs toda a sua lista de contas de 145 milhões de usuários em maio de 2014, incluindo nomes, endereços, datas de nascimento e senhas criptografadas. O gigante dos leilões online disse que os hackers usaram as credenciais de três funcionários corporativos para acessar sua rede e tiveram acesso completo por 229 dias – tempo mais do que suficiente para comprometer o banco de dados do usuário.

A empresa pediu aos clientes que mudassem suas senhas. As informações financeiras, como números de cartão de crédito, foram armazenadas separadamente e não foram comprometidas. A empresa foi criticada na época por falta de comunicação com seus usuários e implementação deficiente do processo de renovação de senha.

LinkedIn
Data: 2012 (e 2016)
Impacto: 165 milhões de contas de usuário
Detalhes: Como a principal rede social para profissionais de negócios, o LinkedIn se tornou uma proposta atraente para invasores que desejam conduzir ataques de engenharia social. No entanto, ele também foi vítima de vazamento de dados do usuário no passado.

Em 2012, a empresa anunciou que 6,5 milhões de senhas não associadas foram roubadas por atacantes e postadas em um fórum de hackers russo. Descobriu-se que o mesmo hacker que vendia os dados do MySpace oferecia os endereços de e-mail e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins (cerca de US $ 2.000 na época). O LinkedIn reconheceu que foi informado da violação e que redefiniu as senhas das contas afetadas.

Marriot International
Data: 2014-1
Impacto: 500 milhões de clientes
Detalhes: a rede de hotéis Marriott International anunciou em novembro de 2018 que invasores roubaram dados de aproximadamente 500 milhões de clientes. A violação ocorreu inicialmente em sistemas que suportam marcas de hotéis Starwood a partir de 2014. Os invasores permaneceram no sistema depois que a Marriott adquiriu a Starwood em 2016 e não foram descobertos até setembro de 2018.

Os invasores conseguiram obter combinação de informações de contato, número do passaporte, números do Starwood Preferred Guest, informações de viagem e outras informações pessoais. Os números do cartão de crédito e as datas de validade de mais de 100 milhões de clientes foram considerados roubados, mas a Marriott não tem certeza se os invasores conseguiram decifrar os números do cartão de crédito. A violação foi atribuída a um grupo chinês que buscava reunir dados sobre cidadãos americanos, de acordo com um artigo do New York Times.

Yahoo
Data: 2013-14
Impacto: 3 bilhões de contas de usuário
Detalhes: o Yahoo anunciou em setembro de 2016 que em 2014 havia sido vítima do que seria a maior violação de dados da história. Os invasores comprometeram os nomes reais, endereços de e-mail, datas de nascimento e números de telefone de 500 milhões de usuários. O Yahoo afirmou que a maioria das senhas comprometidas foram hash.

Então, em dezembro de 2016, o Yahoo revelou outra violação de 2013 por um invasor diferente que comprometeu os nomes, datas de nascimento, endereços de e-mail e senhas e perguntas de segurança e respostas de 1 bilhão de contas de usuário. O Yahoo revisou essa estimativa em outubro de 2017 para incluir todas as suas 3 bilhões de contas de usuário.

O momento do anúncio da violação original foi ruim, já que o Yahoo estava em processo de aquisição pela Verizon, que acabou pagando US $ 4,48 bilhões pelo negócio principal de internet do Yahoo. As violações prejudicaram cerca de US $ 350 milhões do valor da empresa.

Veja todos os casos no link abaixo.

Fonte: CSO