As fugas de dados mais importantes de 2014,
segundo a Kaspersky Lab
Lisboa, 4 de Fevereiro de 2015

Nem só a Sony Pictures e algumas celebridades sofreram roubo e violação de dados
em 2014, também a JP Morgan, Barclays, Orange, eBay ou a Dropbox, entre outros,
foram alvo de ataques

O preço de um ficheiro é variável - os ficheiros com dados de utilizadores do serviço
de estacionamento Park ‘N Fly do aeroporto, por exemplo, foram vendidos a entre 6 e
9 dólares por ficheiro e os dos clientes do Barclays por até 76 dólares

Qualquer política de segurança empresarial é tão forte quanto o nível de
conhecimento dos responsáveis de segurança TI das organizações
Todos os anos, milhões de pessoas são vítimas de numerosas violações de dados, segundo a
Kaspersky Lab. E os resultados destes roubos são extremamente negativos: os hackers vendem a
informação bancária dos utilizadores em páginas web ilegais, as empresas têm que pagar enormes
somas de dinheiro para reparar os prejuízos dos seus clientes e os consumidores perdem dinheiro.
A Kaspersky Lab fez uma compilação dos casos de violação de dados mais importantes de 2014,
que provocaram a fuga de informação pessoal de alguns clientes, e trouxeram a lume algumas
revelações interessantes sobre o preço destes dados e as consequências para a reputação das
empresas visadas.
Retalhistas em perigo
As grandes cadeias retalhistas são um verdadeiro “prémio” para os hackers, já que armazenam
milhões de registos com dados de clientes. E o ano de 2014 não foi uma excepção quanto aos
ciberataques a este grupo específico de empresas. Ao que tudo indica (embora não se saiba com
exactidão) que um mesmo grupo atacou três grandes cadeias de retalho: o gigante Target (foi
roubado em 70 milhões de ficheiros com dados bancários, números de telefone, emails e outros
dados), o fornecedor de produtos de beleza Sally Beauty (25.000 dados roubados) e o retalhista de
produtos para o lar Home Depot (roubados os dados bancários de 56 milhões de cartões e 53
milhões de emails).
O caso da violação de dados a Sally Beauty teve contornos inesperados quando os próprios
hackers foram atacados. Os dados roubados foram postos à venda em várias páginas web do
mercado negro e, pouco depois, alguém as atacou e transformou uma das páginas. O “hacker
bom” deixou uma mensagem e um vídeo do filme “Men in Black” na página de início do website
atacado.
Houve outra violação de dados privados no sector da venda a retalho da qual muito se falou: a fuga
massiva dos dados de acesso e de passwords do eBay, que afectou 145 milhões de utilizadores.
Como consequência, a empresa tem agora que enfrentar um enorme processo judicial colectivo.
De acordo com a revista PC World, só a soma de interesses e custos de todos os queixosos
superam os 5 milhões de dólares.
Ninguém está a salvo
Bancos, empresas “pontocom”, fabricantes de equipamentos, empresas de telecomunicações e
organismos governamentais,… na verdade todas estão em perigo, inclusive a Sony Pictures, que
sofreu uma importante e mediática violação de dados. E são muitas as celebridades que viram as
suas fotos roubadas e divulgadas publicamente em 2014, mas a realidade é que esta é só a ponta
do icebergue e são muitíssimos mais os casos que existem.
Os bancos de todo o mundo foram um alvo preferencial dos hackers no ano passado. Durante o
primeiro mes do ano, foram desviados dados bancários de 20 milhões de clientes do Korea Credit
Bureau, com a ajuda de um empregado do banco. Em Fevereiro, o banco britânico Barclays foi
atacado: 27.000 ficheiros foram roubados e vendidos. Como resultado, a credibilidade do banco
sofreu um revés e teve que indemnizar milhares de clientes cujos dados tinham sido vendidos no
mercado negro.
Em Junho, os dados privados de 80 milhões de clientes do banco americano JP Morgan também
se viram comprometidos. O banco guardou silêncio durante vários meses e foi preciso chegar a
Outubro de 2014 para reportar o incidente.
Como consequência de um ataque importantíssimo que provocou a exposição dos dados de 27
milhões de clientes (80% da população do país), as autoridades da Coreia do Sul estão a avaliar a
possibilidade de redesenhar completamente o sistema numérico informático dos documentos de
identidade nacional.
As empresas de telecomunicações também tiveram um ano difícil. A Orange, o grupo francês de
telecomunicações, foi atacado duas vezes no primeiro trimestre de 2014 e, no total, foram
roubados os dados de 1,3 milhões de utilizadores. O pior de tudo foi o facto de os hackers terem
comprometido uma plataforma de software que a empresa utiliza para enviar emails promocionais e
mensagens de texto aos clientes que se registavam para os receber. Certamente, depois deste
incidente, muitos clientes pensarão duas vezes antes de subscrever este tipo de serviços de
marketing.
Em Outubro, a AT&T teve que despedir um colaborador demasiado curioso que obteve informação
de forma inapropriada sobre as contas de 1.600 clientes, tendo tido acesso aos seus números de
Segurança Social e carta de condução.
Também em Outubro, a má sorte chegou à Dropbox, o serviço de armazenamento de ficheiros na
nuvem. Os ficheiros de 7 milhões de utilizadores foram desviados e a empresa afirmou que os
dados de início de sessão foram roubados através de páginas web ou aplicações de terceiros.
Talvez por casos como este é que cada vez mais pessoas admitem que não importa o quanto se
esforcem as empresas na protecção dos seus servidores - não podem lutar contra a falta de
cuidado e desconhecimento dos utilizadores. Continuarão a acontecer mais fugas enquanto
combinações como ‘123456’ continuarem a ser usadas como as passwords mais utilizadas.
Quanto valem os dados?
Segundo a Kaspersky Lab, embora o negócio da compra e venda de informação confidencial esteja
a florescer, o preço de um ficheiro concreto é relativamente bajo. Por exemplo, os ficheiros com
dados de utilizadores do serviço de estacionamento Park ‘N Fly do aeroporto, foram
vendidos por entre 6 e 9 dólares cada, e incluíam o número de cartão bancário, a data de
caducidade, o código de verificação, assim como o nome, a morada e o telefone do titular. Os
dados bancários dos clientes do Barclays tinham um preço mais elevado, de até 76 dólares
por ficheiro.
O preço da reputação já é um pouco mais alto, especialmente quando a empresa acaba por ter que
enfrentar um processo judicial. O Barclays ofereceu 770 dólares em indemnização a cada cliente
cujos dados tinham sido roubados, mas muitos deles consideraram esta quantia “insuficiente”. O
banco teve que duplicar algumas das compensações aos clientes que se queixaram e pediam
mais. Alguns deles foram indemnizados com até 1.520 dólares.
Além da compensação, existem outros gastos associados a uma violação de dados. Por exemplo,
a Home Depot investiu num só trimestre 43 milhões de dólares para gerir a fuga de informação. O
dinheiro foi gasto em investigações, em oferta aos consumidores de um serviço de protecção de
roubo de identidade, no aumento da equipa do centro de atendimento telefónico e em outros
serviços legais e profissionais.
Qualquer política de segurança empresarial é apenas tão forte quanto o nível de conhecimento que
dos profissionais de segurança TI. Criar uma ‘cultura interna de segurança’, com ênfase num
comportamento sensato online, e reforçada por uma formação regular, é um investimento essencial
para as empresas que lidam informação financeira sensível.
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4
maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a
Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes
empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo
mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta
classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC
#235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de
segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da
Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços.
Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos
erros técnicos ou editoriais ou omissões presentes no texto.