Na última sexta-feira (30), a rede de hotéis Marriott anunciou que uma possível falha de segurança afetou o sistema de reservas, Starwood, atingindo cerca de 500 milhões de clientes. Informações com nomes, e-mails, telefones, números de passaportes, datas de nascimento, dados bancários teriam sido vazados. O hack começou em 2014, mas foi descoberto somente agora durante uma investigação no banco de dados, evidenciando a dificuldade com que as empresas têm para identificar quando foram invadidas.
“O fato é que os ambientes tecnológicos são cada vez mais complexos e as empresas têm dificuldade em mantê-los atualizados e devidamente monitorados”, afirmou Paulo Braga, Sales Engineer da NETSCOUT Arbor. Na visão do executivo, o cenário atual exige das empresas estarem preparadas para o pior, assumindo que uma invasão não é uma hipótese, mas inevitável.
“Por mais que as empresas invistam em segurança, o investimento em monitoramento ainda é feito de forma muito básica e, dependendo do nível de sofisticação do atacante, um ataque pode passar despercebido”, complementa Andre Carraretto, estrategista em Segurança da Symantec. De acordo com o executivo, um monitoramento básico, sem processos sólidos, é como avaliar um paciente com um exame de Raio X, ou seja, ele tem um limite.
“Uma tomografia, por exemplo, tem muito mais nitidez sobre o problema. O mesmo acontece com a segurança, a maior parte das empresas ainda está no Raio X, não enxerga tudo o que precisa, e quando o faz, pode ser tarde demais”, analisa.
Um estudo da Global Data Breach aponta que as empresas demoram em média 200 dias para perceber que foram invadidas. O tema deve ser encarado de forma mais séria, porque quanto mais cedo a invasão é descoberta, menos danos e gastos a companhia terá.
“É preciso monitorar bem para encontrar essas invasões, e assim que encontrar, poder responder rapidamente para que o atacante não consiga atingir o objetivo final dele. Boa parte das empresas não faz isso hoje de forma adequada, por isso ainda temos casos como esse da Marriott”, destaca Carraretto.
Para Braga não existe um fator único que justifica esses vazamentos em série nos mais diversos segmentos. “Mas um ponto que chama atenção diz respeito à quantidade de empresas que fazem parte do grupo. Isso costuma ser um pesadelo para os Security Officers, devido à necessidade de integração entre sistemas legados e equipes diferentes, com metodologias distintas”, explica.
O banco de dados de reservas Starwood comprime informações de hóspedes da Marriott e de outros hotéis da rede, como Sheraton, W Hotels, St. Regis e Westin. Além disso, Braga afirma que a falha pode ter sido originada pela falta de investimento em tecnologia, número insuficiente de profissionais capacitados para atuar em prevenção, monitoração ou resposta a incidentes, falta de processos para adequada atuação nos pontos já mencionados, e até mesmo negligência.
“Difícil dizer porque normalmente as empresas não entram muito em detalhes, propositalmente”, pondera Braga. Mas algumas hipóteses surgem em cenários como esse: falta de ferramental adequado (os tradicionais FW, IPS, WAF, entre outros) ou falta de controle de acesso adequado.
Apesar da possível falha de Segurança, Braga afirma que a rede agiu corretamente, divulgando o problema de forma tempestiva tanto para as autoridades reguladoras quanto aos usuários finais. Para ele, será interessante avaliar como este caso se desdobrará em relação à GDPR. “Tudo indica que a multa será pesada”, finaliza.
Como usuários devem proceder?
As possíveis consequências da violação de dados da Marriott no Starwood devem ser alarmantes para qualquer pessoa que tenha permanecido em um dos hotéis da rede nos últimos quatro anos. Para John Shier, consultor sênior de segurança da Sophos, os hóspedes não apenas correm risco de ataques de phishing, mas também podem ser alvo de e-mails de direcionados e estarão sujeitos a golpes nos telefones e possíveis fraudes financeiras.
Ao contrário de violações anteriores, esse ataque também incluiu números de passaportes para alguns indivíduos, que correm mais risco de roubo de identidade”, diz o especialista. Não se sabe ao certo a que nível de exposição cada vítima está sujeita. Até lá, todas as vítimas em potencial devem tomar medidas preventivas para se protegerem de golpes.
– Fique atento ao spearphishing: o Marriott anunciou que detalhes pessoais associados às contas Starwood Preferred Guests foram comprometidos e os endereços de e-mail desses usuários estão vulneráveis. Esse cenário é perfeito para os cibercriminosos realizarem campanhas direcionadas contra os clientes, porque eles têm acesso a esse tipo de informação detalhada;
– Cuidado com as mensagens oportunistas: a rede anunciou que enviará um e-mail para os clientes do Starwood Preferred Guest que possam ter sido afetados. Não clique em links de e-mails ou outras comunicações que parecem ter vindo dos hotéis Marriott ou Starwood. É possível que criminosos tentem aproveitar a situação enviando tweets ou e-mails maliciosos. Passe o mouse sobre URLs e links para ver o endereço antes de clicar. Olhe para o endereço de e-mail para ver de onde é;
– Monitore as contas bancárias: os relatórios indicam que os invasores podem ter acesso às informações de cartão de crédito criptografadas de alguns membros, mas ainda não está claro se essas informações podem ser descriptografadas. Em geral, monitore o cartão de crédito em busca de atividades suspeitas. Como precaução de segurança, altere a senha da conta de cartão de crédito online. Se você usar a mesma senha para sites semelhantes de gerenciamento financeiro, altere imediatamente. Como uma melhor prática de segurança, escolha sempre uma senha diferente e forte para cada conta confidencial;
– Altere as senhas, por precaução: ainda não está claro se os invasores têm acesso às senhas da conta Starwood Preferred Guest, mas como medida de segurança, os consumidores podem alterar as senhas. Se essa senha também for usada para contas bancárias, altere-as imediatamente. Monitore a conta Starwood Preferred Guest em busca de atividade suspeita;
– Não digite “Web Watcher” na busca do Google: o Marriott está oferecendo às vítimas dos EUA, Reino Unido e Canadá uma assinatura gratuita de um ano a algo que chama de WebWatcher, que descreve como um serviço que monitora “sites da Internet em que informações pessoais são compartilhadas”. Não faça a busca disso no Google. Se você digitar “WebWatcher” no Google, você não encontrará o serviço de monitoramento, mas sim muitos links para spyware do mesmo nome. Não se inscreva para isso. Siga os links para versões específicas do país do site de violação oficial. Você não pode se inscrever para monitoramento na página de violação principal, você tem que ir para as versões idênticas da página para os EUA, Reino Unido ou Canadá.