O que é violação de dados e como isso ocorre?

Seja como for, ela pode dar origem a um vazamento de dados e expor informações que deviam ser protegidas e mantidas fora dos olhos do público, ocasionando danos muitas vezes irreparáveis a governos, companhias e indivíduos.

Várias são as formas que as violações de dados podem ocorrer. Abaixo estão algumas das mais comuns.

• Uso de malware: os cibercriminosos podem empregar diversos tipos de malware (inclusive spyware Pegasus) para corromperem sistemas de segurança, entrarem em redes privadas e ganharem, assim, acesso a informações confidenciais.
• Engenharia social: os hackers podem usar de comunicações fraudulentas, em redes sociais ou e-mail, para fazerem-se passar por fontes confiáveis e induzirem os funcionários das empresas a informarem dados sigilosos. Uma estratégia comumente utilizada para isso é o chamado ataque de phishing.
• Roubo físico: nesse caso, as informações são abstraídas de maneira direta, por meio do roubo de dispositivos, pen-drives ou outros hardwares nos quais esses dados eram armazenados.
• Ataques de Zero Day: os dados das pessoas também são vazados quando os cibercriminosos exploram vulnerabilidades de Zero Day (ou Dia Zero). Quando empresas e plataformas são atingidas por estes ataques cibernéticos, os dados dos usuários são roubados e vazados na internet (além de serem comercializados).
• Ameaças internas: nem sempre a fonte da violação é externa, muitas vezes são os próprios funcionários da empresa que divulgam (intencionalmente ou não) as informações que deviam guardar. Seja por sentimento de vingança, corrupção ou mesmo erro “inocente”, esses incidentes são mais comuns que se imagina.
• Violações de terceiros: empresas que trabalham em colaboração com terceiros podem sofrer violações quando esses terceiros não têm o devido cuidado com os dados compartilhados com eles.

Uma violação de dados pode trazer consequências bastante graves às suas vítimas – sejam elas pessoas físicas ou grandes corporações. Abaixo estão alguns dos maiores riscos dessa ameaça cibernética.

Perdas financeiras

Uma violação de dados pode acarretar perdas financeiras de inúmeras maneiras. Para as empresas, o comprometimento de informações confidenciais pode impactar em sua reputação comercial, levando à perda de clientes e mercado, ou ainda ter efeitos negativos em seu próprio funcionamento, a exemplo da divulgação de secretos comerciais, como patentes e técnicas sigilosas de produção.

Para os indivíduos, uma violação pode expor dados bancários, números de cartão de crédito e outras informações financeiras que podem ser usadas diretamente em fraudes e crimes de estelionato – fazendo com que as vítimas percam, principalmente, dinheiro.

Danos à reputação

Como mencionado no item anterior, uma violação de dados pode colocar em xeque a reputação de uma empresa e, consequentemente, prejudicar sua posição no mercado. Isso porque ser alvo de um ataque do tipo evidencia falta de segurança por parte da companhia, e isso impacta diretamente no nível de confiança que os clientes depositam nela.

Interrupções operacionais

Após uma violação de dados, as empresas podem ter que interromper a produção para investigar a fonte e a extensão dos danos causados pelo incidente. Isso pode levar a grandes tempos de inatividade, perda de produtividade e, como consequência, aumento de custos e redução dos lucros.

Roubo de identidade

Com as informações pessoais roubadas durante uma violação de identidade, os cibercriminosos podem roubar a identidade das vítimas, usando seu nome, endereço e documentos em práticas fraudulentas, como criação de cartões de crédito e solicitação de empréstimos bancários, levando as vítimas a sofrerem perdas financeiras, danos em sua reputação e até mesmo problemas legais.

De maneira geral, todos os setores são passíveis de sofrerem uma violação de dados. Mas algumas empresas estão particularmente mais vulneráveis a esses incidentes por atraírem mais a atenção dos hackers.

Entre os alvos preferenciais das violações de dados, encontram-se companhias do ramo da saúde, incluindo hospitais e clínicas particulares; das finanças, com bancos e empresas de crédito e de investimentos; do varejo, a exemplo de lojas de comércio eletrônico; e os governos.

E os impactos desses eventos são bastante significativos. Segundo dados do IBM, em 2022, uma violação de dados no Brasil custou de R$ 5,19 milhões até mais de R$ 7,71 milhões, a depender da duração do episódio.

Ao longo dos últimos anos, diversos incidentes de violação de dados ganharam as manchetes mundiais. Entre casos envolvendo sistemas de saúde e grandes corporações de mídia, abaixo estão as mais notáveis violações de dados.

2022 – CommonSpirit

A CommonSpirit Health é um sistema de saúde com a segunda maior rede hospitalar sem fins lucrativos dos EUA. Em outubro 2022, a empresa teve seus sistemas bloqueados por um ataque de ransomware, que exigia um volumoso resgate sob a ameaça de divulgação de todos os dados confidenciais da companhia, incluindo as informações de seus clientes (Saiba mais sobre o que é um ransomware).

2021 – LinkedIn

O LinkedIn também foi alvo de cibercriminosos, em 2021, quando dados de mais de 90% de seus usuários foram roubados, incluindo e-mail, número de telefone, e localização dos membros. O incidente foi o segundo em que a plataforma sofreu uma violação de dados de grande porte, e desde então, sua reputação no meio digital tem sido impactada.

2021 – Syniverse

Um grande escândalo veio a público quando a empresa de telecomunicações Syniverse admitiu que era vítima, há anos, de hackers em seus sistemas e que eles tinham acesso a aproximadamente 500 milhões de registros de seus clientes. À época, a companhia foi duramente responsabilizada pela situação, sobretudo porque sua postura em relação às boas práticas de segurança cibernética foi considerada negligente.

2019 – Capital One

O banco estadunidense Capital One foi manchete, em 2019, após sofrer uma violação de dados que afetou mais de 100 milhões de clientes ao fazer a transição de seus serviços para a nuvem, com o auxílio da Amazon Web Services. Na ocasião, um ex-funcionário da plataforma Amazon abusou de suas credenciais e acabou liberando acesso a dados pessoais dos clientes do banco, como número de seguridade social e detalhes das contas.

Quando constatada uma violação de dados, o sugerido é que as empresas ajam o quanto antes para minimizar e evitar mais danos. Algumas das medidas que elas podem tomar são:

• Tentar conter a violação. É preciso identificar a origem da violação e tomar as medidas cabíveis para controlá-la e conter os danos o mais rápido possível. Quanto mais tempo a situação fica ativa, piores as consequências posteriores e mais difícil será reparar os problemas que virão.
• Notificar as partes afetadas. Transparência é tudo nesses casos. É imperativo que as empresas notifiquem seus clientes e todas as partes interessadas que possam ser afetadas pela violação. Na notificação, é recomendável mencionar detalhes sobre o que aconteceu e quais medidas podem ser tomadas para se proteger.
• Realizar uma investigação. Uma vez controlada a situação e os danos, as empresas precisam descobrir as causas da violação. Para isso, elas devem conduzir uma investigação completa sobre o incidente em busca de responsáveis, duração da violação e dados comprometidos.
• Punir os responsáveis. Após identificar os responsáveis pela violação, as companhias devem aplicar a lei cabível e punir devidamente os infratores. Essa medida é importante não apenas para mostrar ao mercado que a segurança e a lei são levadas a sério pela firma, mas também para dissuadir futuras tentativas de violação.
• Aprimorar as práticas de segurança. Deve-se sempre aprender com os erros. Depois de passar por um episódio de violação de dados, as empresas devem investir em estruturas e práticas de cibersegurança melhores para evitar futuros problemas.

Embora seja verdade que não existe um modo infalível de acabar totalmente com os riscos de violação de dados, há muitas formas de diminuir as chances de um incidente do tipo. Abaixo estão algumas sugestões.

Atualização de software

Uma regra de ouro que é constantemente ignorada é a de sempre manter os programas e sistemas atualizados – especialmente os softwares de segurança, como firewalls, VPN e antimalwares. O motivo é que as atualizações servem ao propósito de mudar as configurações para as versões mais recentes, fazendo com que sejam capazes de proteger os sistemas das últimas ameaças e vulnerabilidades exploradas pelos criminosos.

Criptografia

A criptografia é uma ferramenta útil que “embaralha” os dados de modo que apenas quem tem a chave criptográfica consegue decodificar o emaranhado de informações e ler o real conteúdo dos documentos. Assim, ela é um recurso essencial para a proteção preventiva de dados confidenciais, afinal, mesmo que haja uma violação, os hackers não conseguirão ler as informações nem as expor realmente.

Autenticação multifatorial

A autenticação multifatorial exige do usuário mais de uma chave para a entrada em determinada conta. Isto é, além das credenciais usuais, normalmente, a autenticação só é efetivada com a autorização por outra via, seja o reconhecimento biométrico, a verificação pelo celular ou outro dispositivo. Com essa camada extra de proteção, torna-se mais difícil para os criminosos invadirem os sistemas e causarem uma violação dos dados, porque para tal eles precisam entrar clandestinamente em duas ou mais vias diferentes.

Investir em senhas fortes

Em geral, as senhas são o elo mais frágil do universo da cibersegurança. Os usuários tendem a manter a mesma combinação de caracteres para todas as suas contas e por um longo período, tornando a vida dos hackers muito mais fácil. Assim, é recomendável que as empresas tenham um bom controle sobre os códigos de acesso, exigindo que os funcionários tenham senhas fortes para as contas e as alterem periodicamente, além de investir no uso de gerenciador de senha para auxiliar na manutenção de um alto nível de proteção.

Treinamento de funcionários

Se os funcionários da empresa não forem devidamente treinados, nem mesmo as melhores ferramentas de segurança poderão ajudar no combate às violações de dados. Por isso, é essencial educar os colaboradores para que eles saibam não apenas usar as ferramentas disponíveis, mas também como agir para prevenir problemas futuros: aprendendo a identificar e evitar sites falsos, a prestar atenção se as páginas visitadas têm o certificado SSL de segurança, e a tomar cuidado ao acessar o Wi-Fi inseguro de hotel ou aeroportos.

Atenção aos fornecedores

Muitas violações não ocorrem no nível da empresa, mas sim no dos seus fornecedores e serviços terceirizados. Por isso, é fundamental monitorar a atividade dessas companhias colaboradoras, exigindo que elas sigam rígidas práticas de segurança e confidencialidade com os dados tratados por elas.

Como usuário, ouvir que suas informações podem ter sido violadas pode ser chocante, mas é preciso manter a calma e seguir alguns passos básicos para conter (ou minimizar) os danos.

Confirmar que a violação ocorreu e quais dados foram roubados

O primeiro passo a se tomar é confirmar o incidente. Isso pode ser feito ao entrar em contato com a empresa vítima da violação e questionar sobre o ocorrido. É importante perguntar também quais dados podem ter sido comprometidos e quais medidas estão sendo tomadas.

Alterar senhas e credenciais

Caso o fato seja confirmado, é indispensável que o usuário altere todas as suas senhas e credenciais comprometidas o quanto antes. Essa medida pode evitar que os dados violados (e, eventualmente, vazados) venham a ser explorados pelos criminosos em atividades fraudulentas.

Monitorar contas em busca de atividades suspeitas

Outra medida essencial é ficar de olho nas atividades das suas contas – tanto em redes sociais quanto no banco. Qualquer movimentação suspeita deve ser imediatamente comunicada à plataforma responsável e as senhas alteradas – caso isso já não tenha sido feito.

Melhorar a higiene cibernética

A ocorrência de uma violação de dados é uma excelente oportunidade para o usuário se lembrar de fazer uma limpeza em sua vida online e melhorar a sua higiene cibernética. Nesse processo, contas antigas e não usadas devem ser excluídas, os sistemas e programas devem ser atualizados, e a autenticação multifatorial deve ser implementada quando possível.

Com essas medidas básicas, o usuário poderá reduzir consideravelmente o impacto da violação de seus dados e ganhar algum controle sobre sua segurança cibernética.