O que é vazamento de dados?
O vazamento de dados, também conhecido como “data leak” ou “data breach”, refere-se ao acesso, coleta ou divulgação não autorizada de informações pessoais ou sensíveis. Estes incidentes ocorrem quando informações confidenciais são indevidamente expostas ou transferidas para indivíduos ou grupos não autorizados. Estes dados podem variar desde credenciais de acesso, como senhas, até detalhes financeiros ou pessoais, como contas bancárias e documentos de identificação.
O crescente uso de serviços online aumentou a quantidade de dados armazenados digitalmente, tornando-os alvos potenciais para cibercriminosos. Cristina Cestari, CIO da Volkswagen e convidada do podcast Itshow, comenta sobre essa situação: “Se a gente parar para olhar com detalhe, tudo que está na dark web, todas as informações que em algum momento foram vazadas, isso gera um supersinal de alerta para todo mundo. Então, não é questão só de ferramenta, é questão de atitude, não tem bala de prata nesse quesito.”
A origem do vazamento de dados pode ser variada, abrangendo tanto ações mal-intencionadas quanto negligentes. Atacantes externos podem explorar vulnerabilidades em sistemas ou utilizar técnicas de engenharia social para obter acesso. No entanto, ameaças internas, como ações de funcionários descontentes ou simples erros humanos, também são causas comuns.
Uma vez que os dados são comprometidos, as consequências podem ser graves. Vítimas de vazamentos de dados podem enfrentar danos financeiros, fraude de identidade e outros riscos. Junto com isso, empresas que sofreram vazamentos enfrentam danos à sua reputação, perda de confiança dos clientes e possíveis sanções legais.
Como ocorre
Os vazamentos de dados geralmente são resultado de:
- Softwares mal-intencionados que identificam e exploram falhas em sistemas;
- Contas de usuários sendo acessadas devido a senhas frágeis ou comprometidas;
- Atitudes de colaboradores atuais ou antigos que subtraem e redistribuem informações empresariais a partes não autorizadas;
- Furto de dispositivos que armazenam informações confidenciais;
- Descarte inapropriado de dispositivos de armazenamento antigos, como discos rígidos ou USBs.
Principais riscos
Quando informações confidenciais são expostas, os cibercriminosos podem ter diversas intenções, como realizar extorsões, prejudicar empresas, vender os dados em mercados ilegais, entre outros.
Os riscos associados a essa exposição de dados incluem:
Acesso e uso de dados
- Acesso direto a informações;
- Visualização das informações por pessoas não-autorizadas;
- Venda em mercados digitais ilícitos;
- Manipulação ou alteração das informações.
Riscos para identidade e segurança online
- Roubo de identidade, levando à invasão de contas online;
- Abertura fraudulenta de contas usando seu nome;
- Tentativas de descobrir senhas ou respostas de segurança;
- Uso de senhas comprometidas em diversos serviços onde ela foi reutilizada.
Riscos financeiros
- Abertura não autorizada de cartões de crédito e contas bancárias;
- Solicitação fraudulenta de empréstimos, resultando em dívidas;
- Transações ilegais em seu nome;
- Operações indevidas em suas contas;
- Clonagem e uso não autorizado de cartões de crédito;
- Transferências ilícitas de propriedade.
Comprometimento da privacidade e tentativas de fraudes
- Exposição de informações pessoais, como registros médicos, diálogos privados e conteúdos íntimos;
- Riscos de extorsão, onde os criminosos ameaçam divulgar dados sensíveis;
- Publicação de informações pessoais na web;
- Tentativas de golpes personalizados, como phishing;
- Coação para revelar mais informações ou realizar transações financeiras;
- Importunação em várias plataformas.
O que fazer
Após alterar todas as suas senhas, é fundamental, se for notificado ou souber através da imprensa sobre uma exposição de dados pessoais, buscar informações detalhadas sobre o incidente e tentar determinar:
- A natureza dos dados expostos;
- As categorias de dados para definir as ações a seguir;
- Entender quais ações a entidade responsável pelos dados está tomando para conter o problema;
- Ações recomendadas para você;
- Momento em que a exposição possivelmente aconteceu;
- Declarações e reportagens relacionadas.
Ouça agora o Ep. 9 do podcast Itshow no Spotify!
Impactos para as empresas
Tentativas de fraudes
Com mais dados da empresa expostos, cresce o número de tentativas de fraudes direcionadas. Essa exposição pode resultar em ataques de phishing mais direcionados e sofisticados, bem como fraudes por meio de aplicativos de mensagens com informações precisas.
Uma modalidade preocupante é a extorsão de dados sigilosos, na qual se pedem quantias em dinheiro para evitar a publicação dos dados obtidos de forma ilícita. Essa é uma forma de extorsão digital.
Acesso não autorizado a contas online e roubo de identidade
Outra consequência da exposição de dados é o risco de acessos não-autorizados a contas pessoais, utilizando informações falsas para cometer fraudes ou até mesmo acessar contas bancárias. Esse acesso indevido pode facilitar a invasão de outros perfis ou o uso desses dados vazados em diferentes plataformas.
Perdas financeiras
O uso indevido de cartões de crédito, bem como a realização de compras e empréstimos em nome das vítimas, é uma consequência comum da exposição de dados. Diversas transações bancárias não-autorizadas têm origem na exposição indevida de informações pessoais.
Comprometimento da privacidade
Embora nem sempre seja a intenção principal, a exposição de dados também pode resultar em uma invasão de privacidade. Mensagens privadas, imagens, vídeos e atividades cotidianas de indivíduos e empresas podem ser indevidamente acessados e compartilhados, causando impactos financeiros, sociais e emocionais nos afetados.
6 causas mais comuns de vazamento de dados em 2023
1. Configurações de software inadequadas
Quando o software não é corretamente configurado, pode resultar na exposição de dados sensíveis de clientes. Quando o software envolvido é muito utilizado, a vulnerabilidade pode colocar milhões de usuários em risco de sofrer ataques virtuais. Este foi o problema enfrentado pela Microsoft Power Apps em 2021.
A equipe da UpGuard detectou esta falha de segurança em 24 de maio de 2021. Uma importante configuração de acesso a dados estava, por padrão, definida como “inativa”, o que levou à exposição de aproximadamente 38 milhões de registros, abrangendo:
- Informações de funcionários;
- Registros de vacinação contra a COVID-19;
- Dados de monitoramento de contatos relacionados à COVID-19.
Depois de alertar a Microsoft sobre a vulnerabilidade, os especialistas da UpGuard ajudaram a empresa a implementar uma solução eficaz antes que os detalhes fossem encontrados por cibercriminosos. Caso essa ação não tivesse sido tomada, inúmeras empresas e usuários poderiam ter enfrentado graves ameaças cibernéticas. Este incidente mostra o potencial da gravidade de falhas de segurança que não são tratadas rapidamente.
2. Manipulação estratégica
Muitas vezes, vazamentos de dados não têm origem em atos de cibercriminosos, mas quando originam-se deles, é comum envolverem técnicas astutas de manipulação estratégica.
Manipulação estratégica envolve a exploração da psicologia humana para extrair informações sigilosas das vítimas. Phishing é uma das formas mais usadas dessa tática, podendo ser aplicada através de comunicações verbais ou eletrônicas.
Um exemplo clássico de ataque de phishing verbal é um suposto técnico de TI ligando para um funcionário da empresa. Durante a chamada, esse impostor pode pedir credenciais de acesso, alegando que é para solucionar um problema interno urgente. Ao usar gatilhos que incitam uma sensação de urgência na empresa, a abordagem pode parecer extremamente convincente para um indivíduo despreparado.
A Experian enfrentou uma situação assim com uma brecha que comprometeu dados de aproximadamente 800.000 negócios, originada por um ataque manipulativo. Um indivíduo mal-intencionado, fazendo-se passar por cliente da Experian, solicitou serviços e, como resultado, dados sensíveis de clientes foram compartilhados.
3. Reutilização de senhas
Frequentemente, a vulnerabilidade de uma senha específica pode colocar em risco diversas ferramentas digitais, pois é comum que os usuários utilizem a mesma senha para diversas contas. Tal comportamento inadequado amplia o risco de exposição de dados, já que informações adquiridas de forma ilícita tendem a ser ofertadas em sites da dark web.
4. Furto de equipamentos com informações confidenciais
Os aparelhos da empresa armazenam dados valiosos e, se perdidos ou roubados, podem abrir portas para ameaças e roubos de identidade, culminando em exposições de dados. Por exemplo, um invasor, ao obter um notebook, pode tentar enganar o técnico de TI alegando ter esquecido as credenciais de acesso. Se bem persuadido, o técnico poderá, ingenuamente, fornecer detalhes essenciais, permitindo que o cibercriminoso tenha acesso remoto à rede corporativa. Nessa situação, o equipamento em questão torna-se o ponto de entrada, ligando o indivíduo ao profissional de TI da empresa.
5. Falhas em programas
Falhas em aplicativos, como ataques de zero day, são portas abertas para informações valiosas. Esses problemas evitam a primeira fase do processo de um ataque digital, direcionando invasores diretamente para a etapa de elevação de acesso – a etapa imediatamente anterior a um vazamento de dados.
Ao serem exploradas, essas falhas podem resultar em uma série de ameaças, como intrusões indevidas, contaminação por malware, comprometimento de perfis em redes sociais e, em alguns casos, fraudes com cartões.
6. Adoção de senhas iniciais
Muitos dispositivos chegam ao consumidor com logins pré-definidos, muitas vezes já conhecidos pelo grande público e, consequentemente, por indivíduos mal-intencionados. Assim, manter essas senhas iniciais é quase como anunciar uma falha de segurança.
Os aparelhos ligados à Internet das Coisas (IoT) são particularmente vulneráveis a esse problema. Ao serem comprados, vêm equipados com senhas genéricas para facilitar a primeira configuração. Combinações frequentes envolvem “admin” ou “12345”.
Normalmente, os manuais desses dispositivos trazem uma indicação clara de que essas senhas devem ser alteradas imediatamente. Porém, muitos usuários, sejam de pequenas ou grandes empresas, negligenciam esse aviso. Considerando que esses dispositivos estão interconectados, tal fragilidade pode ser o estopim para ataques em larga escala, como os DDoS.
9 boas práticas para proteger a sua empresa do vazamento de dados
1 – Estabeleça um setor de segurança da informação
Para assegurar um controle adequado e gestão dos dados corporativos, é fundamental estabelecer um setor dedicado à Tecnologia da Informação com ênfase em segurança. A esfera de TI está intrinsecamente ligada à gestão de dados, já que todos transitam através dos sistemas corporativos.
Especialistas nesse campo estão aptos a desenhar táticas de proteção de dados adaptadas às particularidades e orçamento da empresa. Assim, é essencial que toda organização considere a criação de um setor de segurança em TI, caso ainda não o tenha.
2 – Desenvolva uma diretriz interna de dados
É importante que todos estejam na mesma página sobre a gestão de dados. Para assegurar isso, a empresa deve instituir uma diretriz interna. Esse guia deve definir as abordagens e melhores práticas adotadas pela empresa em relação aos dados, bem como instruir o comportamento dos funcionários.
É vital que esta diretriz esteja em sintonia com os valores da empresa e com os princípios éticos e condutas estabelecidos. É imperativo que todos os membros da equipe estejam familiarizados com ele. A uniformização das expectativas é essencial, e analisar práticas de outras empresas pode ser benéfico na elaboração desta diretriz.
3 – Identifique as jóias da coroa
Na área de segurança da informação, a expressão “jóias da coroa” refere-se aos ativos de informação mais valiosos de uma organização. A identificação e proteção desses ativos são essenciais para um plano de segurança eficaz. Ao identificá-las, as organizações devem protegê-las usando técnicas como a segmentação, que divide uma rede em partes independentes, garantindo que, mesmo se um segmento for comprometido, os ativos mais valiosos permaneçam seguros. A implementação pode ser complexa, especialmente com sistemas legados, mas é vital para minimizar riscos.
4 – Promova uma capacitação contínua
A formação e atualização contínua são essenciais para garantir a segurança dos dados. Cristina destaca: “Programas de formação, programas de incentivo, são fundamentais. Se você não reciclar as pessoas, você não consegue fazer essa roda girar e não consegue colocar aquela sementinha da cultura de risco.” Introduza treinamentos regulares e cursos de atualização. Uma abordagem lúdica, como a gamificação, pode tornar esse processo mais envolvente e eficaz, incentivando uma aprendizagem mais fluida.
5 – Implemente atualizações automáticas
Facilite as atualizações de software através de processos automáticos na rede da empresa, permitindo atualizações remotas. A utilização de VPN possibilita que os funcionários se conectem de forma segura de qualquer local, o que é muito importante para empresas que vivem a realidade do trabalho remoto ou híbrido.
6 – Opte pela computação em nuvem
A computação em nuvem tem transformado as operações empresariais, oferecendo acesso remoto a softwares e proporcionando economia. Esta tecnologia é um pilar em termos de segurança da informação, e, ao digitalizar sua empresa, prioriza soluções baseadas em cloud.
7 – Realize auditorias regulares
Certifique-se de realizar auditorias periódicas para garantir a integridade dos dados e identificar possíveis vulnerabilidades.
8 – Cumpra a Lei Geral de Proteção de Dados
A LGPD, inspirada no GDPR europeu, oferece uma estrutura de proteção de dados, melhorando a confiabilidade das empresas brasileiras no cenário global. Estar em conformidade com a Lei não só garante a confiança do cliente, mas também potencializa o mercado brasileiro para investidores estrangeiros.
9 – Adote o gerenciamento de dispositivos móveis
Com a crescente necessidade de mobilidade no trabalho, a gestão de dispositivos móveis se torna vital. Esses dispositivos, além de valiosos, são portais de acesso a dados corporativos. Implementar soluções que supervisionem e protejam esses dispositivos é de extrema importância para prevenir perdas financeiras e exposição de dados.
A segurança da informação é um aspecto fundamental que vai além da tecnologia e penetra profundamente na cultura de uma organização. Como destaca Cristina Cestari, “se a gente não levar esse conceito de segurança para a organização, podemos ter os melhores técnicos, as melhores ferramentas, mas as pessoas se tornam um ponto de vulnerabilidade.” Isso ressalta a necessidade de um entendimento abrangente da segurança dentro de uma empresa, onde “cada executivo tem que entender qual é a sua ‘joia da coroa’, o que ele tem que proteger”, não sendo essa uma responsabilidade apenas técnica, mas uma questão de negócios.
Cestari enfatiza ainda que a conscientização sobre segurança de dados é uma responsabilidade de todos na organização: “Já está claro para todos nós que a conscientização não é só da área de tecnologia, não é só do desenvolvedor. A organização como um todo precisa estar consciente, do board até a pessoa que está iniciando a carreira dentro da organização.” Para enfrentar os desafios da cibersegurança moderna, as empresas precisam investir na criação de uma cultura de risco e segurança robusta. Como Cestari conclui, “existe uma cultura de risco, uma cultura de segurança que todos terão que investir bastante para poder identificar esses riscos.” Os dados são o coração de muitas operações modernas, e, uma vez inseridos em uma ferramenta, precisam ser protegidos adequadamente, representando assim o grande desafio das organizações no mundo atual.