Dia da Proteção de Dados reforça demanda por responsabilidade compartilhada

Com números de ataques e vazamentos aumentando a cada ano, a necessidade da segurança de dados envolve tanto empresas e o poder público, quanto a conscientização da sociedade com compartilhamento de informações

Compartilhar:

Por Alejandro Dutto*

Todos os anos é comentado sobre a privacidade de dados, porém os números aumentarem consideravelmente em termos de ataques e vazamentos. O direito à privacidade de dados é de todos e, no Brasil, há a Lei Geral de Proteção de Dados (LGPD) avançando para uma internet mais segura, entretanto é preciso aumentar a participação da sociedade como agentes de defesa e conscientizar a população sobre o assunto.

 

Para visualizar o cenário atual, foi divulgado na última semana, 23 de janeiro, que mais de 26 bilhões de registros pessoais foram expostos, no que as autoridades acreditam ser o maior vazamento já registrado na história. Os agentes de ameaça, impulsionados pelos lucros das vendas de dados valiosos, estão cada vez mais sem medo de serem capturados ou punidos.

 

De posse desses dados, atacantes podem até mesmo criar um grande banco de informações que será utilizado como referência para um incontável número de ataques. E em termos de Brasil, segundo pesquisas da Tenable, foram mais de 112 terabytes (TB) de dados expostos em 2022, correspondendo a quase a metade do volume total mundial.

 

Para exemplificar as técnicas utilizadas por criminosos de posse destas informações, é possível mencionar o ataque conhecido como “credential stuffing”, quando a combinação de identidade e palavra-passe de um serviço pode ser utilizada para violar outro. Ao combinar informações de alto nível de diferentes fontes para traçar o perfil completo de um indivíduo – como senhas, PINs, números de CPF e até mesmo informações ainda mais pessoais, como nome de filhos, animais de estimação. endereço e outros – golpistas podem ter informações suficientes para responder a perguntas de segurança usadas para proteger e/ou acessar até mesmo contas bancárias. Quanto mais informações estiverem disponíveis para os hackers, maior será o risco.

 

Por outro lado, a metodologia de ataque dos agentes de ameaças raramente é avançada ou requer elevado nível técnico, mas é sim oportunista. Uma equipe de agentes mal-intencionados busca muitas maneiras e múltiplos caminhos através dos ambientes para causar danos e monetizar seus esforços. Ainda, a adoção generalizada da computação em nuvem, tanto no nível pessoal quanto corporativo, introduz novos níveis de vulnerabilidade e complexidade de gerenciamento que podem ser alvo de criminosos.

 

É preciso repensar a exposição de ativos digitais voltados para internet. Na maioria dos casos, um ataque se origina da falta de configuração correta de serviços na nuvem, senhas fracas e de vulnerabilidades conhecidas, porém não corrigidas, que permitem aos agentes da ameaça um ponto de entrada para a infraestrutura da organização. Tendo obtido entrada, os agentes de ameaças procurarão explorar configurações incorretas no Active Directory para obter privilégios e se infiltrar ainda mais na organização para roubar dados, criptografar sistemas em ataques ransomware ou causar outros danos que impactem os negócios ou a vida pessoal de um indivíduo.

 

No ponto de vista das pessoas, deve-se perguntar quais dados e onde estão sendo compartilhadas essas informações. Ao começar pelo básico, prestando atenção nos indicadores de confiabilidade dos sites e em aceitar ou não os cookies. No caso de compras, use ferramentas disponíveis como Site Confiável ou Reclame Aqui, bem como o selo Confi, que fica localizado no rodapé das páginas de compras e que pode ser consultado, assim como ficar atento antes de realizar uma compra ou inserir dados pessoais no e-commerce, mesmo que as ofertas pareçam tentadoras.

 

Nas redes sociais, participar de questionários que oferecem prêmios ou utilizar um simples app de modificação de imagens, pode ser tentador ou “trending”, porém pode fornecer informações para que atacantes lancem um ataque de engenharia social. Todos os dias ataques de preenchimento de credenciais aumentando, portanto, ter a mesma senha para todas as identidades online é algo perigoso. Em outra linha de ataque, alavancando o Deep Fake, criminosos estão utilizando figuras públicas para atrair vítimas com vídeos falsos extremamente convincentes.

 

As organizações e governos têm a obrigação de proteger as informações que os consumidores lhes confiam. No entanto, todos devem desempenhar um papel na proteção das informações confidenciais

 

*Alejandro Dutto é diretor de engenharia de segurança para América Latina e Caribe da Tenable. 

Conteúdos Relacionados

Security Report | Overview

NFL forma parceria para segurança de redes em jogos internacionais

Com a expansão da parceria com a Cisco, as crescentes operações internacionais da NFL vão aproveitar soluções em todo o...
Security Report | Overview

Cibersegurança nas eleições: O Brasil está pronto para uma onda de ataques DDoS?

Relatório da Akamai Technologies mostra como ataques DDoS crescem ao redor do mundo e colocam em risco instituições democráticas
Security Report | Overview

Quase duas mil instituições de ensino sofrem ataques cibernéticos por ano no Brasil

Relatório da Verizon aponta que o setor de Educação é muito visado por criminosos cibernéticos e especialista aponta o que...
Security Report | Overview

Laboratório detecta novas vulnerabilidades em sistemas WordPress, Cisco e Google

O relatório da consultoria Redbelt também revelou uma falha no ChatGPT para macOS, que pode ter permitido espionagem persistente. A...