Nos últimos 10 anos, tivemos vários casos de vazamento de dados no mundo, que coincidem com o aumento vertiginoso na disponibilização de dados pessoais na web e nos servidores.
Com as pessoas conectadas 24 horas por dia, o desejo dos criminosos virtuais em ter acesso a essas informações valiosíssimas é aumentado. Enquanto alguns se concentram em informações individuais, os mais preparados focam no roubo de dados de forma massiva e buscam brechas em banco de dados que podem chegar a bilhões de pessoas, como os do Facebook, Yahoo e Adobe, por exemplo.
Neste artigo vamos falar sobre os principais prejuízos para o negócio que podem ser provocados por um vazamento de dados, citar 9 casos famosos desses ataques e trazer dicas de prevenção. Confira!
Principais danos provocados por um vazamento de dados
Os riscos extensos e variáveis que as empresas enfrentam ao serem vítimas de uma violação de dados podem ser prejudiciais à receita e à reputação, e gerenciar as consequências pode ser muito caro.
A 15ª edição do relatório anual de custo de uma violação de dados, com pesquisa do Ponemon Institute e publicada pela IBM Security, constatou que o custo total global de uma violação de dados entre agosto de 2019 e abril de 2020, foi em média de 3,86 milhões de dólares. O estudo analisou 524 violações ocorridas em organizações de todos os tamanhos, em 17 regiões geográficas e 17 setores.
Porém, os efeitos colaterais prejudiciais de um vazamento de dados vão além dos financeiros. Vamos falar sobre eles.
Perda financeira
Para muitos, a consequência mais fatídica de um vazamento de dados é a perda financeira incorrida. Dependendo da natureza da violação, podem ocorrer vários problemas financeiros.
As empresas que sofrem esses tipos de ataque podem ter que arcar com os custos incorridos com a contenção da violação, compensando os clientes afetados, percebendo uma redução no valor das ações e elevados custos de segurança.
Embora os líderes de negócios não possam prever definitivamente como — ou se — as finanças serão afetadas no caso de um vazamento, as perdas podem ser significativas, como mostra o estudo citado acima.
Danos à reputação
No mundo hiperconectado de hoje, as notícias viajam rápido. Mesmo aqueles que talvez nunca tenham ouvido falar de sua empresa, provavelmente ouvirão sobre uma violação nos dias seguintes. O dano que um vazamento de dados pode causar em uma empresa pode ser devastador, especialmente se a violação for evitável ou colocar os dados do cliente em risco.
A perda de confiança, a imprensa negativa, o roubo de identidade associado e as opiniões dos clientes em potencial em relação à sua empresa podem ser afetados, deixando nuvens sombrias sobre a reputação da marca e criando complicações de longo prazo.
Com toda a atenção voltada para a sua empresa após uma violação, é crucial garantir que o gerenciamento de suas consequências seja tratado de forma adequada. Do contrário, você corre o risco de perder clientes atuais e potenciais para concorrentes que podem ser vistos como mais seguros.
Interrupções operacionais
Desde o momento em que seus dados são comprometidos, até todo o processo de investigação e recuperação, os efeitos de uma violação de dados afetam significativamente as operações de negócios.
Dependendo da gravidade, elas podem resultar em uma perda completa de dados importantes, o que requer que as vítimas passem longos períodos se recuperando. O curso de ação mais comum nesses cenários é encerrar totalmente as operações até que uma solução seja encontrada, permitindo tempo suficiente para se concentrar em encontrar a origem da violação.
Sem surpresa, isso tem um efeito de gotejamento. Quanto mais tempo as operações estiveram suspensas, maior será a probabilidade de os clientes saírem, o que pode resultar em ainda mais perda de receita.
Implicações legais
Violações cibernéticas envolvendo informações pessoais de indivíduos geralmente resultam em ações judiciais coletivas. Junte todas as taxas legais que acompanham esses pagamentos e as empresas enfrentarão custos muito mais altos do que a maioria pode se preparar.
Em alguns casos, as autoridades podem até impedir que as empresas realizem certas operações até que as investigações legais sejam concluídas, o que pode levar a problemas adicionais de longo prazo.
Se você acha que notou um padrão entre essas quatro situações, está correto. O que torna cada um desses efeitos colaterais tão devastadores é como eles estão circunstancialmente ligados uns aos outros e como, uma vez que você se envolva em um problema, os outros três logo o seguirão.
Preparar-se para a ameaça de um ataque e tomar as medidas preventivas adequadas é a melhor maneira de garantir que sua empresa não seja vítima de uma violação cibernética. Se sua organização não leva a sério a segurança da informação, pode haver sérias consequências.
9 casos famosos de vazamento de dados
Vamos relembrar 9 casos famosos de vazamentos de dados, que aconteceram com empresas gigantes, para que eles sirvam de exemplo para seus clientes entenderem a importância de priorizar a segurança na web. Confira!
1. Adobe
Em 2013, a Adobe, uma das gigantes do mundo da tecnologia, desenvolvedora de softwares de alto rendimento, sofreu um ataque que resultou no vazamento de dados de mais de 38 milhões de usuários dos programas da empresa.
Entre as informações pessoais vazadas, estão os nomes dos usuários, suas senhas e até números de cartão de crédito. O que amenizou a força desse ataque é o fato desses dados estarem criptografados — o que não atenua a vulnerabilidade do sistema.
2. Uber
Uma das empresas de aluguel de carros mais populares no mundo, a Uber, também não escapou de ver os dados de seus usuários e motoristas sendo roubados por criminosos virtuais. O caso aconteceu em 2016 e foi revelado em 2017.
No total, estima-se que dados de 57 milhões de pessoas, entre usuários e motoristas, foram vazados — nome, e-mail, telefone, números de cartão e diversas outras informações pessoais.
3. Ashley Madison
O site de relacionamentos adulto Ashley Madison foi atacado por um coletivo de hackers intitulado “The Impacte Team”, que publicou cerca de 30 GB de dados de clientes da página. Entre tudo isso, além de informações pessoais, como nomes, e-mails, trazia também dados considerados sensíveis, como a preferência sexual dos usuários.
Como é um site em que os usuários buscam sigilo absoluto, a revelação dessas informações trouxe consequências gravíssimas, que culminaram na saída do diretor da empresa.
4. Target
Segunda maior rede de lojas de departamento dos Estados Unidos, a varejista americana Target, teve o seu banco de dados atacado, afetando cerca de 70 milhões de consumidores.
Nesse ataque, os criminosos tiveram acesso a dados como: números de cartão de crédito, de débito, validade e código de segurança. Estima-se que o prejuízo do ataque seja de aproximadamente 3 bilhões de dólares.
5. Playstation Network
Os servidores da Sony, mais precisamente de sua rede online de videogames, a Playstation Network, foi invadido em 2011, deixando o serviço fora do ar por mais de 40 dias. Nessa ação, aproximadamente 77 milhões de clientes foram atingidos, com dados como nome de usuário, senhas e até números de cartões de créditos vazados.
Após os mais de 40 dias de recuperação, para tentar reduzir os impactos e limpar a barra da marca, a Sony presenteou os seus clientes com jogos, filmes e outros produtos.
6. Yahoo
Outra gigante do mundo da tecnologia, a Yahoo também teve seu revés ao sofrer um ataque que atingiu cerca de 3 bilhões de contas de e-mail existente no serviço, em 2013.
Depois de anos de investigação, os usuários tiveram a tranquilidade de descobrir que seus dados bancários foram resguardados. Os hackers tiveram acesso a dados pessoais, como nome, endereço de e-mail, números de telefone, datas de nascimento e senhas de suas contas.
7. Steam
Uma das maiores plataformas de games para PC do mundo, a Steam, foi atacada por hackers em 2011. Os criminosos conseguiram invadir os servidores da Valve e tiveram acesso a informações como, logins e números de cartão de crédito.
Na época do acontecimento, a empresa contava com 35 milhões de usuários, mas não há a confirmação de que todos foram afetados.
8. Banco Inter
Vamos a um caso de uma empresa brasileira, o Banco Inter, um dos pioneiros em oferecer contas digitais no país. Um vazamento deixou vulnerável cerca de 19 mil correntistas, em 2018. O objetivo dos hackers era extorquir o banco, três dias depois da empresa negociar suas ações na bolsa de valores.
Em dezembro do mesmo ano, a empresa fechou um acordo com o Ministério Publico do Distrito Federal e Territórios, com o pagamento de R$1 milhão para instituições públicas que trabalham em combate ao crime cibernético e uma quantia relevante destinada a instituições de caridade.
9. Facebook
Deixamos por último o caso mais emblemático, relacionado à maior rede social do mundo, o Facebook. Com bilhões de usuários no mundo todo e com uma produção de dados quase que imensurável, a empresa se meteu em um escândalo que ultrapassa a esfera digital. Ele envolvendo a consultoria de marketing digital Britânica Cambridge Analytica e afetou mais de 50 milhões de contas mundo afora.
As informações roubadas foram logins e senha, o que pode parecer simples, mais tinha um objetivo muito bem definido: utilizar tais informações pessoais na campanha eleitoral de 2016, em prol do candidato Donald Trump.
Mesmo acontecendo em 2016, o caso só veio à tona em 2018, com o fundador da empresa tendo que se explicar, no senado americano, e se comprometendo, entre outras coisas, a trabalhar firme para que as eleições no Brasil, que ocorreriam naquele ano, não fossem afetadas por vazamentos e táticas escusas na rede social.
Principais descobertas que podem surpreendê-lo
Além dos dados relacionados aos custos acarretadas por uma violação de dados, o relatório da IBM Security citado no início deste artigo também trouxe algumas conclusões valiosas para quem quer melhorar a segurança das informações na empresa. Vamos falar aqui sobre algumas delas.
Automação de segurança e prontidão de resposta a incidentes são eficazes na redução de custos
Detectar uma violação o mais rápido possível por meio do uso de automação e responder para conter a violação mais rapidamente com uma equipe de resposta a incidentes treinada e preparada limita significativamente os danos financeiros de uma violação de dados.
No estudo, o custo médio de uma violação de dados em organizações que implantaram tecnologias de automação de segurança — como inteligência artificial, aprendizado de máquina, análise e orquestração automatizada — foi muito menor do que em organizações que ainda não implantaram essas tecnologias.
Na verdade, o custo médio de uma violação em organizações com automação de segurança totalmente implantada foi de 2,45 milhões de dólares, em comparação com 6,03 milhões em organizações sem automação de segurança — uma diferença gritante de 3,58 milhões de dólares.
Credenciais comprometidas e configuração incorreta da nuvem são os maiores vetores de ataque
Ataques maliciosos foram responsáveis por 52% das violações no período estudo, um aumento de 51% em relação à mesma pesquisa realizada no ano anterior. O relatório fez um mergulho mais profundo nos tipos de ataques maliciosos, analisando o custo e a frequência de nove primeiros vetores de ataque.
Os vetores de ataque iniciais mais frequentes incluíram credenciais comprometidas (19% das violações maliciosas), configuração incorreta da nuvem (19%) e vulnerabilidades em software de terceiros (16%). Esses três vetores também são os mais caros, com violações devido a credenciais comprometidas em média 4,77 milhões de dólares, vulnerabilidades em software de terceiros em média 4,53 milhões e violações de configuração incorreta na nuvem em média 4,41 milhões.
Ransomware e ataques destrutivos são mais caros do que as violações comuns
Nem todas as violações de dados envolvem roubo ou vazamento — às vezes, os registros são destruídos ou mantidos como reféns por um resgate. O relatório analisou também o custo das violações envolvendo malware e ransomware destrutivos.
A violação destrutiva média de malware custou 4,52 milhões de dólares e a violação média de ransomware 4,44 milhões. O custo médio geral de uma violação maliciosa foi de 4,27 milhões de dólares.
Neste post, além de citarmos os principais prejuízos que uma empresa pode ter devido ao vazamento de dados, relembramos alguns dos cases mais famosos no Brasil e no mundo, para termos a noção do quanto os dados estão vulneráveis no mundo digital. Trouxemos também alguns insights recentes para que você possa desenhar a estratégia de defesa contra-ataques na sua empresa.
Cabe aos desenvolvedores e gestores de TI adotarem medidas de segurança para reduzir esses riscos, afinal, na maioria dos casos, as invasões acontecem após negligência dos próprios usuários. Um bom controle de acesso, política de senhas e autenticação de dois fatores são medidas que qualquer pessoa pode começar a tomar hoje mesmo.
Agora que você conhece o potencial agressivo de um vazamento de dados, comece a estudar os principais mecanismos de defesa. Aproveite sua visita ao nosso blog e entenda agora a importância de ter segurança no servidor de sua empresa!