O que é uma violação de dados?

Uma violação de dados envolve a divulgação de informações confidenciais. Muitos tipos de ataques on-line têm como objetivo principal causar uma violação de dados para liberar informações como credenciais de login e dados financeiros pessoais.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir violação de dados
  • Descrever vários exemplos de violações de dados
  • Explorar estratégias para mitigar violações de dados

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é uma violação de dados?

Uma violação de dados é a liberação de informações confidenciais, privadas ou sensíveis em um ambiente não seguro. Uma violação de dados pode ocorrer acidentalmente ou como resultado de um ataque deliberado.

Milhões de pessoas são afetadas todos os anos por invasões de dados que podem variar em escopo, atingindo desde um médico olhando acidentalmente para a ficha do paciente errado até uma tentativa em larga escala de acessar computadores do governo para descobrir informações confidenciais.

Violação de dados

As invasões de dados são uma grande preocupação de segurança, uma vez que dados sensíveis estão sendo constantemente transmitidos pela internet. Essa transferência contínua de informações torna possível que invasores de qualquer local tentem invadir os dados de quase qualquer pessoa ou empresa que escolherem.

Os dados também são armazenados em formato digital por empresas em todo o mundo. Os servidores que armazenam os dados muitas vezes estão vulneráveis a várias formas de ataque cibernético.

Quem normalmente é o alvo das invasões de dados?

As grandes corporações são os principais alvos para os invasores que tentam realizar invasões de dados, pois oferecem uma carga útil bastante grande. Essa carga útil pode incluir milhões de informações pessoais e financeiras dos usuários, tais como credenciais de login e números de cartão de crédito. Todos esses dados podem ser revendidos em mercados clandestinos.

No entanto, os invasores visam qualquer pessoa e todos de quem possam extrair dados. Todos os dados pessoais ou confidenciais são valiosos para os criminosos cibernéticos: geralmente existe alguém no mundo que está disposto a pagar por eles.

Quais são algumas das principais formas de uma invasão de dados?

  • Credenciais perdidas ou roubadas - A maneira mais simples de visualizar dados privados on-line é usar as credenciais de login de outra pessoa para acessar um serviço. Para esse fim, os invasores empregam uma série de estratégias repetitivas para colocar as mãos nos logins e senhas das pessoas. Essas estratégias incluem ataques de força bruta e ataques on-path.
  • Equipamento perdido ou roubado - Um computador ou smartphone perdido que contenha informações confidenciais pode ser muito perigoso se cair em mãos erradas.
  • Ataques de engenharia social - A engenharia social envolve o uso de manipulação psicológica para induzir as pessoas a fornecer informações confidenciais. Por exemplo, um invasor pode se passar por um agente do IRS e ligar para as vítimas na tentativa de convencê-las a compartilhar suas informações de conta bancária.
  • Ameaças internas - Envolvem pessoas que têm acesso a informações protegidas, expondo deliberadamente esses dados, muitas vezes para ganho pessoal. Exemplos incluem um atendente de restaurante que copia números de cartões de crédito de clientes, bem como funcionários governamentais de alto nível que vendem segredos a estados estrangeiros. (Saiba mais sobre ameaças internas).
  • Explorações de vulnerabilidade - Quase todas as empresas do mundo utilizam uma série de produtos de software diferentes. Como o software é muito complexo, muitas vezes contém falhas conhecidas como "vulnerabilidades." Um invasor pode explorar essas vulnerabilidades para obter acesso não autorizado e visualizar ou copiar dados confidenciais.
  • Infecções por malware - Muitos programas de software maliciosos são projetados para roubar dados ou rastrear as atividades dos usuários, enviando as informações coletadas para um servidor controlado pelo invasor.
  • Ataques a pontos de venda físicos - Esses ataques visam obter informações de cartões de crédito e débito e na maioria das vezes envolvem dispositivos que digitalizam e leem esses cartões. Por exemplo, alguém poderia montar uma máquina ATM falsa ou mesmo instalar um scanner em uma máquina ATM legítima na esperança de coletar números de cartão e PINs.
  • Preenchimento de credenciais - Depois que as credenciais de login de alguém são expostas em uma invasão de dados, um invasor pode tentar reutilizar essas mesmas credenciais em dezenas de outras plataformas. Se esse usuário fizer login com o mesmo nome de usuário e senha em vários serviços, o invasor poderá obter acesso ao e-mail, à mídia social e/ou às contas bancárias on-line da vítima.
  • Falta de criptografia - Se um site que coleta dados pessoais ou financeiros não utiliza criptografia SSL/TLS, qualquer pessoa pode monitorar as transmissões entre o usuário e o site e ver esses dados em texto simples.
  • Aplicativo ou servidor web mal configurado - Caso um site, aplicativo ou servidor web não seja configurado corretamente, os dados podem ficar expostos a qualquer pessoa conectada à internet. Dados confidenciais podem ser vistos por usuários que acidentalmente tropeçarem neles ou por invasores que procuram esse tipo de informação propositadamente.

Como é uma violação de dados no mundo real?

A invasão de dados da Equifax em 2017 é um exemplo importante de invasão de dados em larga escala. A Equifax é uma empresa de serviço de proteção ao crédito americana. Entre maio e junho de 2017, partes maliciosas acessaram registros privados, contidos nos servidores da Equifax, de quase 150 milhões de americanos, cerca de 15 milhões de cidadãos britânicos e de aproximadamente 19 mil cidadãos canadenses. O ataque foi possível porque a Equifax não tinha aplicado um patch a uma vulnerabilidade de software do seu sistema.

Invasões de dados em menor escala também podem ter um grande efeito. Em 2020, invasores sequestraram as contas do Twitter de várias pessoas famosas e influentes. O ataque foi possível devido a um ataque inicial de engenharia social que permitiu que os invasores obtivessem acesso às ferramentas administrativas internas do Twitter. A partir dessa invasão inicial, os invasores conseguiram assumir o controle das contas de várias pessoas e promover um golpe que arrecadou aproximadamente US$ 117 mil em Bitcoins.

Uma das mais famosas invasões de dados das últimas décadas foi o ataque cibernético lançado contra o grande varejista Target em 2013. A combinação de estratégias usadas para lançar esse ataque foi bastante sofisticada. O ataque envolveu um ataque de engenharia social, o sequestro de um fornecedor terceirizado e um ataque em larga escala a dispositivos de pontos de venda físicos.

O ataque foi iniciado com um golpe de phishing que perseguiu funcionários de uma empresa de ar condicionado que fornecia unidades de aparelhos de AC para as lojas Target. Esses aparelhos de ar condicionado estavam ligados a computadores da rede da Target para monitorar o uso de energia, e os invasores comprometeram o software da empresa de ar condicionado para obter acesso ao sistema da Target. Os invasores acabaram conseguindo reprogramar os scanners de cartão de crédito das lojas da Target e fornecer aos invasores dados de cartão de crédito dos clientes. Esses scanners não estavam conectados à internet, mas foram programados para periodicamente despejar dados de cartão de crédito salvos em um ponto de acesso monitorado pelos invasores. O ataque foi bem sucedido e estima-se que cerca de 110 milhões de clientes da Target tiveram seus dados comprometidos.

Como as empresas podem evitar invasões de dados?

Uma vez que as invasões de dados assumem tantas formas, não há uma solução única para detê-las, sendo necessária uma abordagem holística. Algumas das principais medidas que as empresas podem adotar incluem:

Controle de acesso: Os empregadores podem ajudar a combater invasões de dados, garantindo que seus funcionários tenham apenas a quantidade mínima de acesso e permissões necessárias para fazer seu trabalho.

Criptografia: As empresas devem criptografar seus sites e os dados que recebem usando a criptografia SSL/TLS. As empresas também devem criptografar os dados em repouso, quando estão armazenados em seus servidores ou nos dispositivos dos funcionários.

Soluções de segurança da web: Um firewall de aplicativos web (WAF) pode proteger uma empresa contra vários tipos de ataques a aplicativos e explorações de vulnerabilidades que visam criar invasões de dados. De fato, especula-se que um WAF devidamente configurado teria evitado o maior ataque de invasão de dados da Equifax em 2017.

Segurança de rede: além das propriedades da web, as empresas devem proteger suas redes internas contra comprometimentos. Soluções de segurança de rede como firewall, proteção contra DDoS, gateways seguros da web e prevenção contra perda de dados (DLP) podem ajudar a manter as redes seguras.

Manter softwares e hardwares atualizados: As versões antigas de softwares são perigosas. Os softwares quase sempre contêm vulnerabilidades que, quando exploradas adequadamente, permitem que os invasores acessem dados sensíveis. Os fornecedores de software lançam regularmente patches de segurança ou versões inteiramente novas de seus softwares para corrigir vulnerabilidades. Se esses patches e atualizações não forem instalados, os invasores conseguirão comprometer esses sistemas, como ocorreu na invasão da Equifax. Depois de um certo ponto, os fornecedores não oferecem mais suporte a produtos de software, deixando esse software completamente aberto a quaisquer novas vulnerabilidades que forem descobertas.

Preparação: As empresas devem preparar um plano de resposta a ser executado em caso de invasão de dados, com o objetivo de minimizar ou conter o vazamento de informações. Por exemplo, as empresas devem manter cópias de backup de bancos de dados importantes.

Treinamento: A engenharia social é uma das causas mais comuns de violações de dados. Treine os funcionários para reconhecer e responder a ataques de engenharia social.

Como os usuários podem se proteger contra invasões de dados?

Aqui estão algumas dicas para proteger seus dados, embora essas ações por si só não garantam a segurança dos dados:

Use senhas exclusivas para cada serviço: Muitos usuários reutilizam senhas em vários serviços on-line. O resultado é que quando um desses serviços sofre uma invasão de dados, os invasores podem usar essas credenciais para comprometer outras contas do usuário também.

Use autenticação de dois fatores: A autenticação de dois fatores (2FA) é o uso de mais de um método de verificação para confirmar a identidade de um usuário antes que ele tenha permissão para fazer o login. Uma das formas mais comuns de 2FA é quando um usuário digita um código único uma única vez, que é enviado por SMS para seu telefone, além da senha. Os usuários que implementam o 2FA ficam menos vulneráveis a invasões de dados que revelam credenciais de login, porque sua senha por si só não é suficiente para permitir que um invasor roube suas contas.

Só envie informações pessoais por sites HTTPS: um site que não utiliza criptografia SSL terá somente "http://" em sua URL e não "https://". Sites sem criptografia deixam quaisquer dados que forem inseridos nele expostos, desde nomes de usuário e senhas até consultas de pesquisas e números de cartão de crédito.

Mantenha softwares e hardwares atualizados: Essa sugestão se aplica tanto aos usuários quanto às empresas.

Criptografe discos rígidos: Se um dispositivo do usuário for roubado, a criptografia evita que o invasor visualize os arquivos armazenados localmente naquele dispositivo. Entretanto, isto não detém os invasores que obtiveram acesso remoto ao dispositivo por meio de uma infecção por malware ou por algum outro método.

Instale somente aplicativos e arquivos abertos de fontes confiáveis: Os usuários baixam e instalam malwares acidentalmente todos os dias. Certifique-se de que quaisquer arquivos ou aplicativos que você abrir, baixar ou instalar sejam realmente de uma fonte legítima. Além disso, os usuários devem evitar abrir anexos indesejados de e-mails: os invasores muitas vezes disfarçam malwares dentro de arquivos aparentemente inofensivos anexados a e-mails.