4 das piores violações de dados de todos os tempos

gurinho

Desde o início da proliferação de dados em grande escala no início dos anos 2000, houve mais de 4.000 violações de dados de alto perfil, com quase um bilhão de dados de indivíduos vazando ou roubados até agora.

Violações de dados são perigosas não apenas por causa de seu efeito na privacidade do usuário, mas também porque podem acabar sendo a diferença entre a vida e a morte de uma empresa. A perda financeira substancial, bem como a perda de imagem causada por uma violação de dados, é um abismo que muitas empresas não podem cruzar com sucesso.

Hoje, vamos dar uma olhada nas piores violações de dados da história e suas implicações.

1. 2018 Marriott International: servidores comprometidos

O hack por trás dessa violação de dados – um dos mais traiçoeiros da lista – começou em 2014, quando os servidores da marca Starwood atual da Marriot foram comprometidos. Embora a Starwood fosse uma entidade independente na época, foi adquirida pela Marriot em 2016 junto com seus servidores de registro comprometidos ainda não descobertos.

Esse hack foi especialmente preocupante devido à natureza dos dados que foram roubados. As informações pessoais vazadas de quase 500 milhões de clientes incluíram nomes, endereços, números de cartão de crédito, números de telefone e também prêmios mais raros para hackers, como números de passaporte, locais de viagens e datas de viagens pessoais de clientes.

A Marriott International acabou enfrentando uma ação coletiva e teve uma queda instantânea de 5,6% em seu patrimônio líquido como resultado da violação. No início de 2020, havia pago quase US $ 350 milhões em compensação aos usuários cujos dados foram expostos.

2. 2019 Facebook: termina solto em protocolos de segurança

Em 2019, o Facebook sofreu alguns incidentes de segurança ridículos que expuseram coletivamente a vulnerabilidade da maior rede social do mundo.

A primeira parte envolveu um vazamento de quase 50 milhões de credenciais de usuários do Instagram online. Os dados do usuário, armazenados em um arquivo de texto simples em um servidor da web acessível por tokens da web, não foram nada além de escolhas fáceis para os grupos de hackers sofisticados que o Facebook geralmente é alvo.

A próxima violação de dados – mais intrincada – viu mais de 540 milhões de registros de usuários do Facebook expostos publicamente no serviço de computação em nuvem da Amazon. Dois sites de terceiros ('At the Pool' e 'Cultura Colectiva') armazenavam as informações dos usuários vinculadas às suas contas do Facebook em bancos de dados desprotegidos nos servidores da Amazon.

Isso significava que alguém que tentasse acessar o banco de dados do At the Pool ou da Cultura sem querer teria acesso aos dados do Facebook por meio de uma brecha de segurança. Os bancos de dados expostos continham números de telefone pessoais, IDs do Facebook e senhas, bem como informações demográficas confidenciais, como gênero e orientação sexual.

Junto com uma ligeira queda no desempenho do Facebook no mercado de ações, as notícias dos desastres de violação de dados de 2019 pioraram a opinião pública sobre o Facebook e alimentaram investigações governamentais sobre como a empresa lida com seus dados de usuário.

3. 2019 First American Financial Corporation: Data Up for Grabs

Nessa violação de dados causada por uma falha de autenticação, quase 885 milhões de registros financeiros vazaram no total.

Simplificando, a First American armazenava os registros confidenciais de seus usuários usando links da web exclusivos e difíceis de adivinhar. Não havia proteção de senha ou criptografia de dados de qualquer espécie. Se você tivesse tempo e recursos para adivinhar um link da web, poderia obter acesso instantâneo a um registro nos servidores da empresa. Os hackers, automatizando o processo de geração desses links da Web – que seguiam um certo padrão – conseguiram obter acesso a quase todas as informações dos clientes da First American.

Essa violação de dados é especialmente infame pela sensibilidade dos dados que vazou. Na violação, os hackers obtiveram acesso a extratos bancários, registros de hipotecas e impostos, números de previdência social e imagens de carteira de motorista.

Como resultado da violação de dados, a empresa não apenas perdeu uma boa parte de sua base de consumidores, mas também foi alvo de uma ação coletiva. Atualmente, também está sendo investigado por reguladores por violações de leis que exigem que bancos e outras empresas de serviços financeiros implementem e mantenham protocolos de segurança cibernética.

4. 2013 Yahoo: Desastre não detectado

Por último, mas não menos importante, o indesejado, mas merecido título de pior violação de dados de todos os tempos vai para este evento de 2013, principalmente porque conseguiu permanecer sem ser detectado por quase três anos.

Em setembro de 2016, o Yahoo anunciou que as informações de todos os seus 3 bilhões de contas de usuário foram roubadas por hackers três anos antes, em 2013. A empresa só foi capaz de detectar a violação quando viu seus dados de usuário sendo vendidos em fóruns e mercados de hackers clandestinos.

No que foi especulado como um hack apoiado por grupos de hackers russos, dados como nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas criptografadas e, em alguns casos, até mesmo questões de segurança foram roubados.

O vazamento de tais informações foi desastroso não apenas porque deu aos hackers acesso às contas do Yahoo, mas também vazou as conexões dos usuários para seus bancos, perfis de mídia social, outros serviços financeiros e amigos e familiares.

Para piorar a situação, mais de 150.000 contas militares e do governo dos Estados Unidos estavam entre as vítimas da violação de dados. Infelizmente para o Yahoo, essa notícia não poderia ter vindo em pior hora. Faltavam apenas dois dias para a assinatura da aquisição do Yahoo pela Verizon, quando os detalhes da pior violação de dados da empresa chegaram às manchetes.

O evento não apenas lançou uma nuvem de incerteza sobre o futuro do negócio, mas também obrigou o Yahoo a fazer mudanças organizacionais e estruturais drásticas antes que pudesse se considerar merecedor do mercado. Eventualmente, o negócio foi adiado por quase um ano e o incidente derrubou quase US $ 350 milhões do preço de venda do Yahoo.

O Yahoo também enfrentou 23 processos judiciais de alto perfil e vários milhares de processos menores por seus usuários. Acabou pagando quase US $ 150 milhões em indenizações e indenizações legais.

O que você pode aprender com as piores violações de dados de todos os tempos

Por mais aterrorizantes e perturbadores que possam ser, esses incidentes são apenas a ponta do iceberg. Embora as empresas responsáveis ​​pela perda de dados do usuário possam enfrentar consequências de curto prazo, elas podem eventualmente se recuperar, ganhando de volta a confiança pública e reparando suas perdas financeiras.

Violações de dados são caras Crédito da imagem: Gomchen / istockphoto

O impacto sobre os usuários, entretanto, pode ser mais adverso e de longo prazo. Enquanto os dados do usuário estiverem disponíveis gratuitamente em fóruns e mercados clandestinos, as pessoas continuarão sendo vítimas de roubo de identidade, roubo de banco e até chantagem. Com a dark web descentralizada, é provável que haja uma abundância dessas plataformas em um futuro próximo.

A ironia de ter a conveniência de uma experiência online altamente personalizada é que nossos dados mais pessoais e importantes muitas vezes estão à proteção de completos estranhos.

A melhor maneira de proteger os dados do usuário não é confiando-os em camadas de criptografia ou firewalls, mas no gerenciamento responsável das próprias informações privadas – monitorando e regulamentando as informações que revelamos e onde as revelamos.