As invasões de contas são o principal objetivo da maioria dos esquemas de fraude. Segundo relatório da consultoria Javelin Strategy e Research, o número de vítimas cresceu 16% somente nos EUA, chegando a 15 milhões, que variam desde indivíduos até grandes corporações.
Além dos grandes vazamentos de dados que vieram à público nos últimos meses, como os casos da Uber, Netshoes e Facebook, vários outros ocorreram em diversos países, demonstrando como erros simples e falta de revisão nos processos de segurança ainda podem permitir que esse tipo de crime aconteça.
Um dos problemas mais comuns é o acesso indevido de funcionários aos bancos de dados e arquivos sensíveis, que permitem a extração de conteúdo importante dos servidores por pessoas sem a devida autorização e, de tal forma, que os administradores de rede demorem muito para descobrir.
No início de fevereiro desse ano, uma pessoa não identificada postou na plataforma GitHub o código-fonte iBoot, que é responsável pelos downloads confiáveis no iOS. A divulgação desses dados facilita aos hackers a violação do sistema operacional da Apple. Na investigação desse caso, foi detectado o envolvimento de um estagiário que, em 2016, trabalhou no escritório da empresa em Cupertino. Ele roubou o código por insistência de amigos que trabalhavam com jailbreak.
O código roubado refere-se ao lançamento do iOS 9.3.x em 2015, mas também pode ser usado para explorar falhas na 11ª versão do sistema operacional. A Apple exigiu a remoção dos materiais publicados na GitHub, mas o código conseguiu se espalhar pela web.
“As ações do agente interno, deliberadas ou espontâneas, implicam não só em prejuízos financeiros, mas também em perdas de reputação, por isso é necessário proteger o negócio contra tais ameaças”, afirma Vladimir Prestes, chefe do escritório de representação SearchInform no Brasil.
Vazamento na nuvem AWS
A empresa de marketing Octoly, com sede em Paris, permitiu o vazamento de dados de 12 mil blogueiros, devido a uma configuração incorreta do armazenamento em nuvem pertencente à organização, prejudicando personalidades nas mídias Instagram, Twitter e YouTube. Pessoas que promoviam marcas de cosméticos como Dior, Estée Lauder, Lancôme e jogos de empresas como a Blizzard Entertainment.
Um backup de um banco de dados SQL contendo todas as informações sobre operações de marketing na Europa e América do Norte foi identificado em 4 de janeiro de 2018. O arquivo foi removido em 12 de janeiro, mas planilhas atualizadas com dados pessoais permaneceram abertas até 1 de fevereiro.
O incidente ocorrido comprometeu três tipos de dados:
– dados pessoais dos blogueiros: nomes, endereços, números de telefone, endereços de e-mail e datas de aniversário dos blogueiros, conectados aos logins do YouTube e Instagram ou usados para contas do PayPal.
– informações analíticas, cuja divulgação poderia prejudicar as operações comerciais da Octoly.
– dados das empresas-clientes: Dior, Estée Lauder, Lancôme, L’Oreal e Pierre Fabre, Beauty Solutions, Ltd. e Birchbox.
Swisscom: 10% da população da Suíça exposta
A operadora de telefonia móvel Swisscom reconheceu que, no final do ano passado, os dados pessoais de um em cada dez residentes na Suíça estavam comprometidos.
Em 7 de fevereiro de 2018, a empresa afirmou que os nomes, endereços, números de telefone e datas de nascimento de cerca de 800.000 clientes foram obtidos por uma terceira pessoa através de um parceiro da Swisscom, que estava envolvido na promoção dos serviços da operadora entre clientes já existentes.
O incidente foi identificado durante uma verificação regular. A Swisscom enfatiza que seu sistema não foi comprometido. A empresa também informou sobre uma série de mudanças para o melhoramento da segurança da informação: enrijecimento do controle de acesso, cancelamento de pedidos de informações sobre clientes em grande volume solicitados em uma única vez e introdução de autenticação com dois fatores para o acesso de parceiros aos seus dados.
Mensageiro instantâneo como instrumento de vazamento
O vazamento de informações do banco de dados Service and Payroll Repository of Kerala (SPARK), contendo dados pessoais de funcionários públicos e pensionistas da Índia, resultou de uma violação do acesso ao subsistema Supplyco Employee Information and Payroll System (SEIPS). Este subsistema contém registros de funcionários, premiações, relatórios de crédito e outros dados pessoais.
A informação sobre o salário de um dos empregados foi compartilhado através do aplicativo WhatsApp, na mensagem havia a comparação dos salários dos funcionários do Departamento de Alimentos da Índia e da empresa Civil Supplies Corporation. O problema foi identificado depois que um assistente de gerência associado ao escritório de fornecimento da cidade de Coulão, apresentou uma reclamação à administração, alegando que informações sobre seu salário foram compartilhadas em um grupo do WhatsApp.