Dez anos após a maior violação de dados do Yahoo! em 2013, a ESET analisa incidentes de violação de dados. Desde o incidente da Equifax, que afetou quase metade da população dos Estados Unidos, parte da Grã-Bretanha e Canadá, passando pelo vazamento de mais de um bilhão de dados de cidadãos da Índia, até o maior roubo de informações vendidas em coleções que totalizaram mais de dois bilhões de registros.
Abaixo, a ESET compartilha detalhes das violações de dados mais relevantes de 2013 até o momento:
Yahoo!: em 2013, a empresa de serviços de internet Yahoo! entrou para a história por ter sofrido a violação de dados mais importante dos últimos 10 anos. No início, a empresa havia reconhecido que 1 bilhão de contas foram afetadas, mas 4 anos depois, em 2017, quando a Verizon adquiriu a empresa e realizou uma investigação com especialistas forenses externos, a real dimensão do ataque cibernético pôde ser tomada: a Oath, unidade de internet da Verizon, reconheceu que o número de usuários afetados era de mais de 3 bilhões, todas as contas do Yahoo! na época, e, além de enviar e-mails para notificar os “novos” afetados, publicou em seu site informações adicionais sobre a violação.
Agora, que tipo de informação foi comprometida por esse ataque? O diretor de segurança da informação do Yahoo!, Bob Lord, disse que o vazamento incluiu nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas com hash e, em alguns casos, perguntas de segurança e suas respostas. A “boa notícia” é que os cibercriminosos não tiveram acesso a dados bancários ou de pagamentos, já que o sistema comprometido não hospedava esse tipo de informação.
Marriott International: a rede de hotéis Marriott International ganhou as manchetes em 2018 por algo que começou a tomar forma quatro anos antes e que envolveria quase 400 milhões de registros comprometidos: em 30 de novembro de 2018, a Marriott emitiu um comunicado no qual afirmou ter recebido “um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes da Starwood nos Estados Unidos”. Durante a investigação, soube-se que “havia acesso não autorizado à rede desde 2014”.
383 milhões de registros foram comprometidos e incluíam nomes, números de telefone, detalhes de passaporte, endereços de e-mail e até números de cartão de crédito criptografados.
De acordo com o New York Times, o ataque pode ser atribuído a um grupo de inteligência chinês, cujo principal objetivo era coletar dados de cidadãos americanos. A equipe de pesquisa que trabalhou a partir de um alerta feito em 8 de setembro de 2018 disse que os cibercriminosos usavam um Trojan de acesso remoto e uma ferramenta que encontra combinações de nomes de usuário e senhas na memória do sistema.
Equifax: em setembro de 2017, a Equifax anunciou que havia sofrido uma violação envolvendo dados de aproximadamente 143 milhões de pessoas, ou seja, 44% da população total dos Estados Unidos. Clientes no Reino Unido e Canadá também foram afetados. Entre as informações que os cibercriminosos conseguiram acessar estavam nomes de clientes, CPF, datas de nascimento, endereços, números de carteira de motorista e também números de cartão de crédito.
Segundo a própria Equifax, o vazamento ocorreu devido a uma “vulnerabilidade de um aplicativo web para acessar determinados arquivos”. A Bloomberg disse que o vazamento foi possível por causa de um patch intempestivo que estava disponível dois meses antes do ataque. As consequências não demoraram a chegar: Richard Smith, CEO da Equifax na época, deixou o cargo. A empresa teve que enfrentar processos de usuários e investigações de reguladores nos Estados Unidos, Reino Unido e Canadá, e suas ações no mercado de ações caíram.
Aadhaar: durante janeiro de 2018, o hack sofrido pela indiana Aadhaar foi tornado público: os ciberatacantes conseguiram violá-lo por meio do site da Indane, uma empresa estatal de serviços públicos que estava conectada ao banco de dados do governo por meio de uma interface, com o objetivo de recuperar dados armazenados por outros aplicativos ou softwares. A Indane não tinha os controles de acesso correspondentes e, portanto, expunha os dados da empresa e de todos os usuários que tinham um cartão Aadhaar.
Tornou-se uma das maiores violações de dados governamentais da história: a grande maioria da população da Índia (cerca de 90%) estava exposta a ser uma vítima potencial de crimes como roubo de identidade e outros golpes. Uma investigação realizada pelo jornal Tribune, da Índia, mostrou que por 500 rúpias (algo como 6 dólares) era possível acessar esses dados por meio de um grupo de hackers que os oferecia pelo WhatsApp.
Coleção #1 a #5: o caso da Coleção foi composto por uma coleção de dados que foram extraídos de várias violações antigas. Entre as cinco entregas que essa “saga” teve, conseguiu filtrar o número chocante de 2,2 bilhões de endereços de e-mail e senhas.
Tudo começou em meados de janeiro de 2019, quando se soube que 773 milhões de endereços de e-mail únicos e também mais de 20 milhões de senhas haviam vazado através do MEGA e outros fóruns, através de um pacote chamado Collection #1. No final do mês, foram lançadas quatro novas pastas que faziam parte do mesmo acervo. A Coleção #2, a Coleção #3, a Coleção #4, a Coleção #5 também incluíram, entre outros dados, nomes de usuário, endereços e senhas, atingindo um peso total de 993,36 GB.
O Instituto alemão Hasso Plattner conduziu uma investigação sobre o vazamento, dizendo que o combo completo das cinco pastas totalizou 2,2 bilhões de registros. Aliás, em alguns fóruns foi oferecido o pacote completo, com o detalhamento do peso de cada pasta.
“Os vazamentos de dados costumam ser mais comuns e frequentes do que gostaríamos. Portanto, é muito importante que, como usuários, saibamos se nossos dados foram vazados de alguma forma, a fim de evitar que sejam usados para fins maliciosos. Sites como Have I Been Pwned, Identity Leak Checker, HackNotice são alguns dos que informam se sua senha vazou. O próximo passo é atualizar as chaves, escolhendo senhas novas e mais seguras, evitando reutilizar a mesma senha em mais de um serviço. Outra prática muito boa é ativar a autenticação de dois fatores em todos os serviços que a têm disponível.”, aconselha Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.