Uma violação de dados envolve a divulgação de informações confidenciais. Muitos tipos de ataques on-line têm como objetivo principal causar uma violação de dados para liberar informações como credenciais de login e dados financeiros pessoais.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança de aplicativos web?
Por que usar HTTPS?
Ataque de força bruta
O que é estouro de buffer?
O que é OWASP Top 10?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Uma violação de dados é a liberação de informações confidenciais, privadas ou sensíveis em um ambiente não seguro. Uma violação de dados pode ocorrer acidentalmente ou como resultado de um ataque deliberado.
Milhões de pessoas são afetadas todos os anos por invasões de dados que podem variar em escopo, atingindo desde um médico olhando acidentalmente para a ficha do paciente errado até uma tentativa em larga escala de acessar computadores do governo para descobrir informações confidenciais.
As invasões de dados são uma grande preocupação de segurança, uma vez que dados sensíveis estão sendo constantemente transmitidos pela internet. Essa transferência contínua de informações torna possível que invasores de qualquer local tentem invadir os dados de quase qualquer pessoa ou empresa que escolherem.
Os dados também são armazenados em formato digital por empresas em todo o mundo. Os servidores que armazenam os dados muitas vezes estão vulneráveis a várias formas de ataque cibernético.
As grandes corporações são os principais alvos para os invasores que tentam realizar invasões de dados, pois oferecem uma carga útil bastante grande. Essa carga útil pode incluir milhões de informações pessoais e financeiras dos usuários, tais como credenciais de login e números de cartão de crédito. Todos esses dados podem ser revendidos em mercados clandestinos.
No entanto, os invasores visam qualquer pessoa e todos de quem possam extrair dados. Todos os dados pessoais ou confidenciais são valiosos para os criminosos cibernéticos: geralmente existe alguém no mundo que está disposto a pagar por eles.
A invasão de dados da Equifax em 2017 é um exemplo importante de invasão de dados em larga escala. A Equifax é uma empresa de serviço de proteção ao crédito americana. Entre maio e junho de 2017, partes maliciosas acessaram registros privados, contidos nos servidores da Equifax, de quase 150 milhões de americanos, cerca de 15 milhões de cidadãos britânicos e de aproximadamente 19 mil cidadãos canadenses. O ataque foi possível porque a Equifax não tinha aplicado um patch a uma vulnerabilidade de software do seu sistema.
Invasões de dados em menor escala também podem ter um grande efeito. Em 2020, invasores sequestraram as contas do Twitter de várias pessoas famosas e influentes. O ataque foi possível devido a um ataque inicial de engenharia social que permitiu que os invasores obtivessem acesso às ferramentas administrativas internas do Twitter. A partir dessa invasão inicial, os invasores conseguiram assumir o controle das contas de várias pessoas e promover um golpe que arrecadou aproximadamente US$ 117 mil em Bitcoins.
Uma das mais famosas invasões de dados das últimas décadas foi o ataque cibernético lançado contra o grande varejista Target em 2013. A combinação de estratégias usadas para lançar esse ataque foi bastante sofisticada. O ataque envolveu um ataque de engenharia social, o sequestro de um fornecedor terceirizado e um ataque em larga escala a dispositivos de pontos de venda físicos.
O ataque foi iniciado com um golpe de phishing que perseguiu funcionários de uma empresa de ar condicionado que fornecia unidades de aparelhos de AC para as lojas Target. Esses aparelhos de ar condicionado estavam ligados a computadores da rede da Target para monitorar o uso de energia, e os invasores comprometeram o software da empresa de ar condicionado para obter acesso ao sistema da Target. Os invasores acabaram conseguindo reprogramar os scanners de cartão de crédito das lojas da Target e fornecer aos invasores dados de cartão de crédito dos clientes. Esses scanners não estavam conectados à internet, mas foram programados para periodicamente despejar dados de cartão de crédito salvos em um ponto de acesso monitorado pelos invasores. O ataque foi bem sucedido e estima-se que cerca de 110 milhões de clientes da Target tiveram seus dados comprometidos.
Uma vez que as invasões de dados assumem tantas formas, não há uma solução única para detê-las, sendo necessária uma abordagem holística. Algumas das principais medidas que as empresas podem adotar incluem:
Controle de acesso: Os empregadores podem ajudar a combater invasões de dados, garantindo que seus funcionários tenham apenas a quantidade mínima de acesso e permissões necessárias para fazer seu trabalho.
Criptografia: As empresas devem criptografar seus sites e os dados que recebem usando a criptografia SSL/TLS. As empresas também devem criptografar os dados em repouso, quando estão armazenados em seus servidores ou nos dispositivos dos funcionários.
Soluções de segurança da web: Um firewall de aplicativos web (WAF) pode proteger uma empresa contra vários tipos de ataques a aplicativos e explorações de vulnerabilidades que visam criar invasões de dados. De fato, especula-se que um WAF devidamente configurado teria evitado o maior ataque de invasão de dados da Equifax em 2017.
Segurança de rede: além das propriedades da web, as empresas devem proteger suas redes internas contra comprometimentos. Soluções de segurança de rede como firewall, proteção contra DDoS, gateways seguros da web e prevenção contra perda de dados (DLP) podem ajudar a manter as redes seguras.
Manter softwares e hardwares atualizados: As versões antigas de softwares são perigosas. Os softwares quase sempre contêm vulnerabilidades que, quando exploradas adequadamente, permitem que os invasores acessem dados sensíveis. Os fornecedores de software lançam regularmente patches de segurança ou versões inteiramente novas de seus softwares para corrigir vulnerabilidades. Se esses patches e atualizações não forem instalados, os invasores conseguirão comprometer esses sistemas, como ocorreu na invasão da Equifax. Depois de um certo ponto, os fornecedores não oferecem mais suporte a produtos de software, deixando esse software completamente aberto a quaisquer novas vulnerabilidades que forem descobertas.
Preparação: As empresas devem preparar um plano de resposta a ser executado em caso de invasão de dados, com o objetivo de minimizar ou conter o vazamento de informações. Por exemplo, as empresas devem manter cópias de backup de bancos de dados importantes.
Treinamento: A engenharia social é uma das causas mais comuns de violações de dados. Treine os funcionários para reconhecer e responder a ataques de engenharia social.
Aqui estão algumas dicas para proteger seus dados, embora essas ações por si só não garantam a segurança dos dados:
Use senhas exclusivas para cada serviço: Muitos usuários reutilizam senhas em vários serviços on-line. O resultado é que quando um desses serviços sofre uma invasão de dados, os invasores podem usar essas credenciais para comprometer outras contas do usuário também.
Use autenticação de dois fatores: A autenticação de dois fatores (2FA) é o uso de mais de um método de verificação para confirmar a identidade de um usuário antes que ele tenha permissão para fazer o login. Uma das formas mais comuns de 2FA é quando um usuário digita um código único uma única vez, que é enviado por SMS para seu telefone, além da senha. Os usuários que implementam o 2FA ficam menos vulneráveis a invasões de dados que revelam credenciais de login, porque sua senha por si só não é suficiente para permitir que um invasor roube suas contas.
Só envie informações pessoais por sites HTTPS: um site que não utiliza criptografia SSL terá somente "http://" em sua URL e não "https://". Sites sem criptografia deixam quaisquer dados que forem inseridos nele expostos, desde nomes de usuário e senhas até consultas de pesquisas e números de cartão de crédito.
Mantenha softwares e hardwares atualizados: Essa sugestão se aplica tanto aos usuários quanto às empresas.
Criptografe discos rígidos: Se um dispositivo do usuário for roubado, a criptografia evita que o invasor visualize os arquivos armazenados localmente naquele dispositivo. Entretanto, isto não detém os invasores que obtiveram acesso remoto ao dispositivo por meio de uma infecção por malware ou por algum outro método.
Instale somente aplicativos e arquivos abertos de fontes confiáveis: Os usuários baixam e instalam malwares acidentalmente todos os dias. Certifique-se de que quaisquer arquivos ou aplicativos que você abrir, baixar ou instalar sejam realmente de uma fonte legítima. Além disso, os usuários devem evitar abrir anexos indesejados de e-mails: os invasores muitas vezes disfarçam malwares dentro de arquivos aparentemente inofensivos anexados a e-mails.