Dez anos após a maior violação de dados do Yahoo! em 2013, a ESET analisa os incidentes de violação de dados mais impactantes.
O levantamento examina desde o incidente da Equifax, que afetou quase metade da população dos Estados Unidos, parte da Grã-Bretanha e Canadá, passando pelo vazamento de mais de 1 bilhão de dados de cidadãos da Índia, até o maior roubo de informações vendidas em coleções que totalizaram mais de dois bilhões de registros.
A violação do Yahoo! entrou para a história por ter sido a mais importante dos últimos dez anos.
No início, a empresa havia reconhecido que 1 bilhão de contas foram afetadas, mas quatro anos depois, em 2017, quando a Verizon adquiriu a empresa e realizou uma investigação com especialistas forenses externos, a real dimensão do ataque cibernético pôde ser tomada: a Oath, unidade de internet da Verizon, reconheceu que o número de usuários afetados era de mais 3 bilhões.
Na época, além de enviar e-mails para notificar os “novos” afetados, publicou em seu site informações adicionais sobre a violação.
O diretor de segurança da informação do Yahoo!, Bob Lord, disse que o vazamento incluiu nomes de usuários, endereços de e-mail, números de telefone, datas de nascimento, senhas com hash e, em alguns casos, perguntas de segurança e suas respostas.
A “boa notícia” é que os cibercriminosos não tiveram acesso a dados bancários ou de pagamentos, já que o sistema comprometido não hospedava esse tipo de informação.
Em 2018 foi a vez da rede de hotéis Marriott International ganhar as manchetes em por algo que começou a tomar forma quatro anos antes e que envolveria quase 400 milhões de registros comprometidos: em 30 de novembro daquele ano, o Marriott emitiu um comunicado no qual afirmou ter recebido “um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes da Starwood nos Estados Unidos”.
Durante a investigação, soube-se que “havia acesso não autorizado à rede desde 2014”. Nada menos que 383 milhões de registros foram comprometidos e incluíam nomes de clientes, números de telefone, detalhes de passaporte, endereços de e-mail e até números de cartão de crédito criptografados.
De acordo com o The New York Times, o ataque pode ser atribuído a um grupo de inteligência chinês, cujo principal objetivo era coletar dados de cidadãos americanos.
A equipe de pesquisa que trabalhou a partir de um alerta feito em 8 de setembro de 2018 disse que os cibercriminosos usavam um trojan de acesso remoto e uma ferramenta que encontra combinações de nomes de usuário e senhas na memória do sistema.
Um ano antes, em setembro de 2017, a Equifax, um dos maiores birôs de crédito dos EUA anunciou que havia sofrido uma violação envolvendo dados de aproximadamente 143 milhões de pessoas, ou seja, 44% da população americana.
Clientes no Reino Unido e Canadá também foram afetados.
Entre as informações que os cibercriminosos conseguiram acessar estavam nomes de clientes, CPF, datas de nascimento, endereços, números de carteira de motorista e também números de cartão de crédito.
Segundo a própria Equifax, o vazamento ocorreu devido a uma vulnerabilidade em um aplicativo web para acessar determinados arquivos”.
A Bloomberg disse que o vazamento foi possível por causa de um patch intempestivo que estava disponível dois meses antes do ataque.
As consequências não demoraram a chegar: Richard Smith, CEO da Equifax na época, deixou a empresa, que teve de enfrentar processos de usuários e investigações de órgãos reguladores nos EUA, Reino Unido e Canadá, e suas ações no mercado de ações também caíram.
Durante janeiro de 2018, a violação a uma base de dados do governo da Índia expôs informações pessoais de 1,2 bilhão de indianos, que foram colocadas à venda na internet.
Os dados davam acesso ao número Aadhaar, uma espécie de código de identificação de cada cidadão indiano.
Os hackers conseguiram violar a base de dados por meio do site da Indane, uma empresa estatal de serviços públicos que estava conectada ao banco de dados do governo por meio de uma interface, com o objetivo de recuperar dados armazenados por outros aplicativos ou softwares.
A Indane não tinha os controles de acesso correspondentes e, portanto, expunha os dados da empresa e de todos os usuários que tinham um cartão Aadhaar.
Tornou-se uma das maiores violações de dados governamentais da história: a grande maioria da população da Índia (cerca de 90%) estava exposta a ser uma vítima potencial de crimes como roubo de identidade e outros golpes.
Uma investigação realizada pelo jornal indiano Tribune mostrou que por 500 rúpias (algo como US$ 6) era possível acessar esses dados por meio de um grupo de hackers que os oferecia pelo WhatsApp.
Em 2019, um dos ataques mais rumorosos foi o da Coleção #1 a #5, composta por uma coleção de dados que foram extraídos de várias violações antigas.
Entre as cinco entregas que essa “saga” teve, conseguiu exfiltrar 2,2 bilhões de endereços de e-mail e senhas.
Tudo começou em meados de janeiro daquele ano, quando se soube que 773 milhões de endereços de e-mail únicos e também mais de 20 milhões de senhas haviam vazado através do Mega e outros fóruns, através de um pacote chamado Collection #1.
No final daquele mês, foram lançadas quatro novas pastas que faziam parte do mesmo acervo.
A Coleção #2, a Coleção #3, a Coleção #4, a Coleção #5 também incluíram, entre outros dados, nomes de usuário, endereços e senhas, atingindo um peso total de 993,36 GB.
O Instituto alemão Hasso Platter conduziu uma investigação sobre o vazamento, dizendo que o combo completo das cinco pastas totalizou 2,2 bilhões de registros.
Aliás, em alguns fóruns foi oferecido o pacote completo, com o detalhamento do peso de cada pasta.
“Os vazamentos de dados costumam ser mais comuns e frequentes do que gostaríamos.
Portanto, é muito importante que, como usuários, saibamos se nossos dados foram vazados de alguma forma, a fim de evitar que sejam usados para fins maliciosos.
Sites como o Have I Been Pwned, Indentity Leak Checker e HackNotice são alguns dos que informam se uma senha vazou.
O próximo passo é atualizar as chaves, escolhendo senhas novas e mais seguras, evitando reutilizar a mesma senha em mais de um serviço.
Outra prática muito boa é ativar autenticação de dois fatores em todos os serviços que a têm disponível”, aconselha Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET América Latina.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...