Tips & Advice

Como se proteger contra violação de dados

Charlotte Empey, 20 Maio 2020

Das mais recentes às maiores violações de dados, nosso Guia de Sobrevivência à Violação de Dados tem todas as informações necessárias

2020 começou quente. Mesmo no meio de uma pandemia global, os cibercriminosos não mostram qualquer indicação de redução de atividade. De fato, eles estão mais ativos. Não chegamos nem à metade do ano e já vimos algumas grandes violações: Roblox, Zoom, EasyJet e até mesmo sites de encontros, como o MobiFriends.

A violação do Roblox pode ser uma das histórias mais interessantes do ano. Tudo começou quando um hacker subornou um funcionário da Roblox para ter acesso ao painel de suporte ao cliente desse popular jogo familiar. Depois de obter o acesso, ele ficou com as informações pessoais de mais de 100 milhões de usuários à sua disposição, com capacidade de trocar senhas, redefinir configurações de segurança, manipular o inventário do jogo e muito mais. Depois de compartilhar capturas de tela das contas do Roblox de pessoas famosas, o hacker disse à Vice, “Fiz isso para provar que conseguia”. Mesmo assim, apesar dessa alegação inofensiva, o hacker acrescentou que ele alterou a senha de duas contas e vendeu os itens do inventário. O hacker depois pediu uma recompensa pelo bug para a Roblox, que recusou devido às intenções pouco nobres que ele demonstrou. 

O serviço de videoconferência Zoom foi surpreendido, como o resto do mundo, quando se tornou um dos apps mais utilizados em março, quando as restrições do coronavírus forçaram milhões de pessoas a ficarem em casa. Era só uma questão de (pouco) tempo até que os cibercriminosos aproveitassem a tendência. Todos os tipos de esquemas e fraudes com o Zoom se seguiram, inclusive a violação de dados do Zoom em abril, quando os pesquisadores encontraram mais de 500.000 credenciais do Zoom à venda na dark web por menos de um centavo cada. Os especialistas acreditam que os dados foram reunidos com a aplicação de credenciais previamente vazadas em contas do Zoom, nas contas de pessoas que reutilizavam suas senhas. 

Nove milhões de clientes da empresa aérea inglesa easyJet tiveram suas informações de viagem e seus endereços de e-mail comprometidos, e mais de 2.000 deles tiveram os dados de cartão de crédito roubados. A violação da easyJet, que a empresa chamou de “ataque cibernético altamente sofisticado”, ocorreu em janeiro e, de acordo com a BBC, a empresa disse que todos os clientes afetados seriam notificados até 26 de maio. Isso é preocupante, pois os hackers podem estar usando os dados vazados em campanhas de phishing para enganar as vítimas ao citar planos de viagem específicos. 

A violação de dados da MobiFriends na verdade ocorreu em 2019, mas a divulgação dos valiosos dados pessoais de mais de 3,6 milhões de usuários só aconteceu no mês passado. As vítimas da violação desse app de encontros tiveram seus dados de e-mails, senhas, telefones, informações de perfil, etc. comprometidos. Como a ZDNet relatou, esses usuários agora estão vulneráveis a ataques de spear-phishing, tentativas de extorsão e outros golpes que exploram informações pessoais. 

Violações de dados anteriores ainda ecoam

Algumas das maiores violações de dados do passado deixaram uma longa trilha de advertências aos consumidores. Entre elas, estão as violações de dados da Equifax e da Capital One. Juntas, elas afetaram quase 250 milhões de pessoas. 

A violação de dados da Equifax em 2017 expôs as informações pessoais e financeiras de 147 milhões de pessoas. Após a resposta inicial à violação, denunciada amplamente, em que os executivos da Equifax tentaram encontrar saídas estratégicas antes de alertar os consumidores, a empresa fez um acordo global com a Federal Trade Commission, o Consumer Financial Protection Bureau e todos os estados e territórios dos EUA. O acordo incluiu $ 425 milhões divididos igualmente entre todas as vítimas que processaram a empresa, além de relatórios e monitoramento de crédito gratuitos até 2026. 

A violação de dados da Capital One em 2019 colocou os dados de cerca de 106 milhões de pessoas em risco. Um hacker se infiltrou no sistema do banco e roubou informações de aplicações de crédito de 100 milhões de clientes dos EUA e 6 milhões do Canadá. Nenhum número de cartão de crédito ou credencial de login foi comprometido, mas outros dados preciosos, como número de previdência social (SSN), número de seguro social e histórico financeiro, não tiveram a mesma sorte. Em resposta, a empresa ofereceu monitoramento de crédito e proteção de identidade gratuitos a todos os afetados. 

Então, o que podemos aprender com essas violações? Várias lições. Em primeiro lugar, as violações de dados podem ocorrer em qualquer lugar, desde pequenos servidores locais até grandes empresas globais. Segundo, monitoramento de crédito gratuito é uma desculpa comum das empresas comprometidas, mas isso oferece aos cibercriminosos outra superfície de ataque. Se eles ficarem sabendo que você foi vítima de uma violação de dados, podem iniciar táticas de phishing fingindo ser uma dessas entidades úteis de relatório de crédito. Lembre-se sempre de que o crime cibernético é inesgotável.

equifaxblog

Como a violação de dados podem te afetar

Uma pergunta antes de começarmos: O que é uma violação de dados? Uma violação de dados é quando ocorre uma infiltração em informações protegidas. É bem simples. Uma violação é uma abertura que não deveria existir. Um buraco no casco do barco, uma rachadura em um muro de defesa ou uma brecha na sua segurança online, só para citar alguns exemplos. Uma violação de dados ocorre quando essa abertura ilegal conduz ao comprometimento ou roubo de informações online sigilosas. Informações roubadas em uma violação de dados podem incluir:

  • Nome do usuário
  • Endereço de e-mail
  • Senha
  • Endereço residencial
  • Números de telefone
  • Data de nascimento
  • Informações da carteira de habilitação
  • Números de cartão de crédito
  • Histórico de compras
  • Dados de conta bancária
  • Número de previdência social (SSN)

Como sei se meus dados foram violados?

A empresa violada deveria alertar imediatamente quando houvesse comprometimento de dados, mas, infelizmente, isso nem sempre acontece, como com a Equifax. A vigilância constante de todas as suas contas pode parecer uma tarefa assustadora, mas é realmente o hábito mais saudável que podemos adotar, mesmo que isso signifique dar uma olhada rápida nos extratos e nas movimentações das suas contas, uma vez por semana, para garantir que não haja surpresas. Além disso, há ferramentas úteis à sua disposição, como o site gratuito do Avast Hack Check, que reúne dados vazados de violações conhecidas para que você possa receber um aviso instantâneo se seus endereços de e-mail forem comprometidos.

O que os cibercriminosos podem fazer com os dados roubados?

As informações são atualmente muito valiosas e os cibercriminosos têm muitas opções lucrativas quando se trata de violações de dados, por exemplo:

  • Vender os dados
  • Retirar dinheiro ilicitamente de contas bancárias
  • Usar cartões de pagamento comprometidos para fazer compras
  • Usar informações pessoais de terceiros para registrar novos cartões de crédito 
  • Acessar e manipular apresentações de imposto
  • Impedir que as vítimas acessem as contas bancárias delas
  • Impedir que as vítimas acessem as contas de redes sociais delas

GDPR e as violações de dados

Na primavera de 2018, o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor na Europa e se tornou a maior reforma mundial até o momento sobre violações de dados. O GDPR se aplica a toda e qualquer empresa e indivíduos que mantenham dados digitais de cidadãos da UE, seja qual for a localização da empresa. Para proteger os consumidores, ele obriga que essas empresas mantenham certos padrões de alta segurança e divulguem todas informações de uma violação em até 72 horas após a descoberta. A empresa que quebrar essas regras será multada em até 4% de sua receita anual ou € 20 milhões ($ 24 milhões), aquele que for o maior valor. Isso serve como um aviso amedrontador aos departamentos de TI em todo o mundo, que estão agora mais inspirados que nunca para proteger seus servidores e equipes, por medo de sofrer o mesmo destino da British Airways, que recebeu uma multa pelo GDPR de £ 183 milhões pela violação dos dados de seus clientes. 

E se eu me tornar vítima de uma violação de dados?

Caso suas informações pessoais tenham sido comprometidas, siga as orientações da nossa lista:

  1. Determine quais informações foram violadas –  pergunte exatamente o que aconteceu à empresa que sofreu a violação. Se eles não informarem todos os detalhes, procure por mais informações com a Comissão Federal de Comércio (FTC, da sigla em inglês) e faça um balanço do que você compartilhou com a empresa. 
  2. Troque suas senhas – crie senhas novas fortes e use sempre uma senha diferente para cada conta. Para ajudar a gerenciar todas elas, use uma ferramenta segura para lembrar de todas, como um gerenciador de senha. Se for oferecida, ative a autenticação com dois fatores, que dobra automaticamente a dificuldade para um hacker invadir sua conta.
  3. Cuidado com links em e-mails ou textos estranhos – se você receber algum e-mail ou texto que diz estar relacionado à violação e que fornece um link para ser clicado ou arquivo para ser baixo, fique atento. Eles são frequentemente ataques de phishing com cibercriminosos tentando se aproveitar da sua confusão. Em vez de clicar no link ou no anexo, feche o e-mail e entre em contato com a empresa diretamente para ver se a mensagem vem deles.
  4. Em caso de roubo de cartão de crédito ou débito – entre em contato com seu banco para impedir que eles sejam usados e solicite novos cartões. Troque também seu código PIN. Converse com o banco para que eles enviem alertas de SMS ou e-mail se detectarem cobranças, compras ou saques estranhos.
  5. Em caso de roubo de número de documentos de identidade – alguns números de documentos permitem que os cibercriminosos abram novas contas em seu nome. Para evitar isso, coloque um alerta de fraude em seu nome nas maiores agências de crédito abaixo. (Ironicamente, a Equifax é uma dessas empresas.) Às vezes, a empresa que sofreu a violação oferecerá alertas de fraude gratuitos. Depois, verifique periodicamente seu relatório de crédito durante alguns anos para garantir que nada suspeito apareça. Você também pode considerar pedir um bloqueio de segurança, que impede que qualquer pessoa veja seu relatório de crédito sem sua autorização. Embora isso possa atrasar algumas compras (locação de carros, aluguéis de imóveis, etc.), também ajuda a evitar o roubo de identidade.
     
  6. Roubo de carteira de habilitação ou de identidade – Nos EUA, entre em contato com o Department of Motor Vehicles. Peça recomendações e pergunte o que fazer para se proteger. Eles podem decidir emitir uma nova licença ou novo número de identidade ou talvez tenham algumas ações de proteção contra fraudes para recomendar.
  7. Use um software antivírus – violações de dados geralmente começam com golpes de phishing, pois o hacker tenta encontrar um caminho para invadir. Proteja-se contra spam maligno, links infectados e malware com um antivírus robusto. O Avast Free Antivirus é classificado constantemente como “excelente” por especialistas do setor. Milhões de pessoas em todo o mundo confiam nele, e ele manterá você seguro contra a horda constante de cibercriminosos que querem derrubar suas portas digitais.