Por Alejandro Dutto*
Todos os anos é comentado sobre a privacidade de dados, porém os números aumentarem consideravelmente em termos de ataques e vazamentos. O direito à privacidade de dados é de todos e, no Brasil, há a Lei Geral de Proteção de Dados (LGPD) avançando para uma internet mais segura, entretanto é preciso aumentar a participação da sociedade como agentes de defesa e conscientizar a população sobre o assunto.
Para visualizar o cenário atual, foi divulgado na última semana, 23 de janeiro, que mais de 26 bilhões de registros pessoais foram expostos, no que as autoridades acreditam ser o maior vazamento já registrado na história. Os agentes de ameaça, impulsionados pelos lucros das vendas de dados valiosos, estão cada vez mais sem medo de serem capturados ou punidos.
De posse desses dados, atacantes podem até mesmo criar um grande banco de informações que será utilizado como referência para um incontável número de ataques. E em termos de Brasil, segundo pesquisas da Tenable, foram mais de 112 terabytes (TB) de dados expostos em 2022, correspondendo a quase a metade do volume total mundial.
Para exemplificar as técnicas utilizadas por criminosos de posse destas informações, é possível mencionar o ataque conhecido como “credential stuffing”, quando a combinação de identidade e palavra-passe de um serviço pode ser utilizada para violar outro. Ao combinar informações de alto nível de diferentes fontes para traçar o perfil completo de um indivíduo – como senhas, PINs, números de CPF e até mesmo informações ainda mais pessoais, como nome de filhos, animais de estimação. endereço e outros – golpistas podem ter informações suficientes para responder a perguntas de segurança usadas para proteger e/ou acessar até mesmo contas bancárias. Quanto mais informações estiverem disponíveis para os hackers, maior será o risco.
Por outro lado, a metodologia de ataque dos agentes de ameaças raramente é avançada ou requer elevado nível técnico, mas é sim oportunista. Uma equipe de agentes mal-intencionados busca muitas maneiras e múltiplos caminhos através dos ambientes para causar danos e monetizar seus esforços. Ainda, a adoção generalizada da computação em nuvem, tanto no nível pessoal quanto corporativo, introduz novos níveis de vulnerabilidade e complexidade de gerenciamento que podem ser alvo de criminosos.
É preciso repensar a exposição de ativos digitais voltados para internet. Na maioria dos casos, um ataque se origina da falta de configuração correta de serviços na nuvem, senhas fracas e de vulnerabilidades conhecidas, porém não corrigidas, que permitem aos agentes da ameaça um ponto de entrada para a infraestrutura da organização. Tendo obtido entrada, os agentes de ameaças procurarão explorar configurações incorretas no Active Directory para obter privilégios e se infiltrar ainda mais na organização para roubar dados, criptografar sistemas em ataques ransomware ou causar outros danos que impactem os negócios ou a vida pessoal de um indivíduo.
No ponto de vista das pessoas, deve-se perguntar quais dados e onde estão sendo compartilhadas essas informações. Ao começar pelo básico, prestando atenção nos indicadores de confiabilidade dos sites e em aceitar ou não os cookies. No caso de compras, use ferramentas disponíveis como Site Confiável ou Reclame Aqui, bem como o selo Confi, que fica localizado no rodapé das páginas de compras e que pode ser consultado, assim como ficar atento antes de realizar uma compra ou inserir dados pessoais no e-commerce, mesmo que as ofertas pareçam tentadoras.
Nas redes sociais, participar de questionários que oferecem prêmios ou utilizar um simples app de modificação de imagens, pode ser tentador ou “trending”, porém pode fornecer informações para que atacantes lancem um ataque de engenharia social. Todos os dias ataques de preenchimento de credenciais aumentando, portanto, ter a mesma senha para todas as identidades online é algo perigoso. Em outra linha de ataque, alavancando o Deep Fake, criminosos estão utilizando figuras públicas para atrair vítimas com vídeos falsos extremamente convincentes.
As organizações e governos têm a obrigação de proteger as informações que os consumidores lhes confiam. No entanto, todos devem desempenhar um papel na proteção das informações confidenciais
*Alejandro Dutto é diretor de engenharia de segurança para América Latina e Caribe da Tenable.