O boom de cibercrimes que vivenciamos, ao lado de iniciativas como a vigente Lei Geral de Proteção de Dados (LGPD), evidencia que as questões de privacidade e segurança da informação nunca estiveram tão em pauta. Nesse contexto, se destaca um grave problema cada vez mais frequente nos últimos anos: o vazamento de dados.
Considerando que a informação é um dos ativos mais valiosos do mundo de hoje (senão o mais valioso), a divulgação ilegal de dados pessoais, sigilosos e estratégicos é um incidente de péssimas consequências para organizações e pessoas físicas.
A seguir, saiba mais sobre esse grave incidente de segurança e descubra como proteger a confidencialidade dos dados da sua empresa e dos seus clientes, evitando sérios prejuízos financeiros e de imagem!
Entendendo o problema: o que é vazamento de dados?
Vazamento de dados é uma exposição não autorizada de dados provenientes de uma organização, sendo que essas informações podem ser visualizadas, roubadas, copiadas ou utilizadas de quaisquer formas de uma maneira indevida ou ilegal.
É importante destacar, aqui, que os malwares ou ameaças cibernéticas não são as únicas origens do problema. Falhas básicas de configuração de segurança e até erros de funcionários (intencionais ou não) podem ser causas do temido vazamento.
No caso do incidente, assim como tudo relativo à segurança da informação, prevenir é muito melhor do que remediar. Para evitar crises de reputação, grandes perdas financeiras e uma imagem manchada no mercado, a estratégia ideal é minimizar os riscos, prever medidas para mitigar o problema e investir em uma gestão eficaz para detectar, conter e comunicar um possível vazamento de informações com agilidade.
Vale lembrar, ainda, que este ocorrido envolve a divulgação de informações sensíveis e/ou confidenciais, como os dados pessoais e financeiros de clientes. Não por acaso, regulamentos como a LGPD e a GDPR demandam que os negócios ajam e informem seus consumidores assim que o problema for identificado – sob a pena de arcar com altíssimas multas em processos jurídicos.
Confira também: Gerenciamento de TI: entenda as diferenças entre o proativo e o reativo
Quais são as principais causas do incidente?
Como já mencionamos, as causas do vazamento de dados nas organizações não são tão óbvias quanto parecem. De fato, seu negócio pode estar vulnerável ao risco de maneira quase imperceptível. Acompanhe:
Phishing
Cada vez mais em alta, o phishing é uma técnica de engenharia social que ataca principalmente na forma de e-mails falsos. Muitas vezes, essas mensagens simulam marcas e remetentes legítimos, levando os usuários a baixarem arquivos, clicarem em links maliciosos, revelarem informações sensíveis e estratégicas e instalarem malwares e spywares nos dispositivos.
De fato, trata-se de uma das razões mais comuns do vazamento de dados pessoais.
Senhas fracas e falta de controle de acesso
Sim, as senhas fracas e óbvias (além dos deslizes no controle de acesso a sistemas e dados) são mais nocivas do que parecem. A falta de autenticação de dois fatores e configurações falhas de sistemas são outros problemas importantes que tornam o banco de dados do negócio vulnerável. Fique atento a essas portas de entrada para cibercriminosos!
Brechas e vulnerabilidades
Falta de atualização de softwares, bugs não resolvidos nos programas… esses são exemplos de brechas ativamente buscadas pelos hackers para acessar, roubar ou modificar informações corporativas sensíveis.
Vale lembrar que aplicações de trabalho populares, navegadores web e sistemas operacionais estão entre os alvos mais frequentes dos cibercriminosos, que se tornam cada vez mais sofisticados na exploração de vulnerabilidades.
Injeção de SQL
A injeção de SQL ou SQL Injection é um grande alerta para as organizações, tendo em vista que é um ataque que exige pouco conhecimento técnico dos hackers e ainda pode ser automatizado.
A ameaça visa explorar websites pouco seguros para ganhar acesso à base de dados em questão.
Parceiros externos e fornecedores
Não basta focar a preocupação no ambiente interno das empresas – é preciso ter em mente também a gestão de riscos relacionados ao acesso de parceiros e fornecedores às aplicações e informações corporativas. As eventuais falhas de cibersegurança dessas parcerias, de fato, podem ser outro ponto de partida para o vazamento de dados.
Cases ao redor do mundo: 4 exemplos famosos de vazamento de dados
Megavazamento de dados do Brasil (2021)
No dia 19 de janeiro de 2021, pesquisadores do dfndr lab, laboratório de segurança da PSafe, detectaram um vazamento de dados em massa do CPF de mais de 220 milhões de brasileiros (quase toda a população), incluindo grandes autoridades do país.
O vazamento supostamente envolveu também informações detalhadas de 104 milhões de veículos, a exemplo de placas, cor, marca, número do chassi e ano de fabricação. Além disso, o cibercrime revelou dados de 40 milhões de empresas nacionais, abrangendo CNPJs, razão social, nome fantasia e datas de fundação.
O cibercrime acionou a vigente Lei Geral de Proteção de Dados (LGPD), além da ação da ANPD (Autoridade Nacional de Proteção de Dados). Até o momento, investigações sobre as fontes do vazamento ainda estão em curso, além da análise para aplicação de multas.
Vazamento do Facebook (2018)
Bastante controverso, o vazamento do Facebook entrou para a história ao envolver a exposição de dados de 87 milhões de usuários, sendo que mais de 443 mil eram brasileiros.
À época, o diretor de tecnologia da rede social divulgou o ocorrido, que se agravou com as acusações contra a Cambridge Analytica (responsável por coletar e gerir os dados do Facebook).
A empresa foi acusada de compartilhar as informações para influenciar nas eleições de 2016 dos EUA, manipulando eleitores na edição vencida por Donald Trump, dentre outros crimes.
O CEO da rede social, Mark Zuckerberg prometeu adotar atitudes mais enérgicas para evitar outros potenciais vazamentos.
Caso da Uber (2016)
Em 2016, a Uber foi alvo de um ciberataque que culminou na exposição dos dados de 57 milhões de usuários, envolvendo 196 mil brasileiros. Entre as informações vazadas, estavam números de celular, endereços de e-mail e também dados da carteira de habilitação de motoristas, segundo a Comissão Federal de Comércio americana.
Na ocasião, a Uber lançou mão de negociações com os cibercriminosos para que os dados pessoais roubados fossem deletados. A empresa também se comprometeu a comunicar seus clientes no caso de possíveis novas ocorrências similares.
Vazamento da Adobe (2013)
Em 2013, a Adobe – empresa americana de softwares – foi alvo de um ataque no qual os hackers obtiveram acesso a um servidor antigo e o exploraram para se inserir na rede da organização, coletando dados de clientes e o código-fonte de alguns dos programas.
Na época, a Adobe confirmou o vazamento das informações, que incluíam dados bancários dos clientes. Estima-se que 152 milhões de senhas e nomes, além de 2,8 milhões de números de cartão de crédito, tenham sido expostos. A companhia, entretanto, só confirmou a exposição de 38 milhões de dados.
Em processo jurídico, a empresa de softwares foi alvo de diversos estados dos EUA, que alegaram que a segurança dos consumidores fora negligenciada. O processo só foi concluído em 2016, quando a Adobe concordou arcar com 1 milhão de dólares em multas.
Afinal, como prevenir um vazamento de dados?
1. Invista em senhas fortes
É a ação mais simples e eficaz para maximizar a proteção das contas online. É importante que as senhas tenham ao menos 8 caracteres, combinando números, símbolos, letras maiúsculas e minúsculas.
2. Aposte em firewalls e antivírus de qualidade
Os firewalls protegem a rede corporativa ao bloquear conteúdos maliciosos sem impedir a transmissão de dados para o trabalho, a exemplo de URLs suspeitas. É a primeira barreira de proteção. Por sua vez, o antivírus corporativo deve fornecer uma segurança de alto nível, inclusive contra ameaças sofisticadas.
3. Faça atualizações frequentes
Como destacamos, os hackers estão sempre à procura de brechas e vulnerabilidades – e elas são comuns em programas e softwares desatualizados. Mantenha os patches e últimas versões em dia.
4. Invista em backups regulares
O backup periódico é primordial para garantir a disponibilidade dos dados sensíveis, críticos e estratégicos para o negócio. Aqui, é importante não confiar em apenas uma mídia para armazenar as cópias de segurança, priorizando o backup em nuvem.
5. Utilize criptografia
A criptografia dificulta o trabalho dos hackers, sendo muito eficaz para prevenir roubos de dados e invasões. A tecnologia cria uma barreira de proteção, implementando obstáculos para o acesso aos dados da empresa e dos clientes.
6. Treine e oriente os colaboradores
Se a equipe não estiver consciente dos riscos e das falhas no trabalho cotidiano que podem abrir portas para os hackers, pouco adianta contar com as melhores tecnologias do mercado. Garanta que a política de segurança está clara para todos e treine os funcionários acerca das melhores práticas de proteção no dia a dia, minimizando os erros humanos que podem levar ao vazamento de dados.
Cibercrime comum dos nossos tempos, o vazamento de dados pode atingir negócios de todos os portes e segmentos, reforçando a prioridade de fortalecer as ferramentas, medidas e conscientização relativas à cibersegurança. Esperamos que tenha gostado do conteúdo!
Para ampliar seus conhecimentos e maximizar a proteção na sua empresa, aproveite para saber mais sobre uma técnica comum dos hackers – os ataques de engenharia social. Até a próxima!
Créditos da imagem de destaque: freepik
