Relembre os maiores vazamentos de informação de 2013

Por Redação | 26.03.2014 às 22:02 - atualizado em 30.06.2015 às 15:17
photo_camera Divulgação

Se tem um motivo pelo qual 2013 será lembrado para sempre na comunidade de segurança de informação, essa razão é a esmagadora quantidade de brechas de segurança e vazamentos de dados. E não estamos nem falando dos escândalos de espionagem da NSA, e sim, de quebras ocorridas em empresas multinacionais, com milhões de usuários diários e produtos que fazem parte do nosso cotidiano.

O especialista em segurança da informação Mihajlo Prerad lembra os 20 maiores vazamentos de informação do ano passado. E apresenta dados impressionantes. Em 2013, foram nada menos do que 2.164 brechas do tipo, que trouxeram a público os dados confidenciais de 822 milhões de pessoas de todo o mundo.

Leia também: Credenciais de quase cinco milhões de contas do Gmail vazam na internet

Esse total significa que uma em cada nove pessoas do globo tiveram suas informações pessoais disponíveis para uso por hackers e outras pessoas mal-intencionadas. E foram justamente eles os principais responsáveis pelos vazamentos, com 60% dos casos de quebra de segurança tendo como autores pessoas que estão fora das estruturas das companhias atacadas. Quase metade dos casos vitimou empresas dos Estados Unidos, com o estado da Califórnia sendo o mais atingido, afinal de contas, é lá que está a maior parte das empresas de tecnologia.

Confira a lista compilada por Prerad:

1. Adobe

Em um vazamento que, segundo números extra-oficiais, é considerado o maior da história, mais de 152 milhões de nomes de usuários e senhas dos usuários dos serviços da empresa foram disponibilizados na internet. Mas o pior não foi apenas isso, mas sim, os 2,8 milhões de dados bancários adicionais que também estiveram disponíveis como parte dessa quebra de segurança.

Além disso, os códigos-fonte de aplicativos como ColdFusion, Adobe Acrobat e Reader também acabaram sendo disponibilizados na internet. A empresa nega que a brecha teve essa extensão gigantesca, afirmando que “apenas” 38 milhões de usuários tiveram suas informações de acesso comprometidas.

2. Target

A Black Friday é o dia em que as grandes varejistas dos Estados Unidos baixam os preços de seus produtos, o que também significa que é uma das datas com as maiores vendas do ano. Para a Target, porém, a edição 2013 foi realmente “negra”, com o vazamento de 70 milhões de dados de clientes e 40 milhões de informações bancárias, como números e senhas de cartões de crédito e débito.

E a culpa nem foi da empresa. Os hackers responsáveis pela quebra de segurança obtiveram o acesso a partir de emails enviados a Fazio Mechanical, uma das companhias afiliadas à Target. Utilizando malwares, eles conseguiram copiar a base de dados da rede e disponibilizaram as informações na internet.

O caso ainda resultou em mais um episódio sinistro. Após afirmar na imprensa que possuía sistemas de segurança de acordo com normas regulatórias e parâmetros fixados pela Target, uma investigação concluiu que a única medida de proteção aplicada pela companhia foi uma cópia gratuita do antivírus Malware-bytes.

3. Ubisoft

Ubisoft

A terceira maior desenvolvedora de jogos do mundo teve sua base de dados invadida em julho de 2013. Os dados não foram trazidos ao público, mas segundo a empresa, os hackers tiveram acesso a um banco de dados de 58 milhões de usuários, com informações como emails, nomes e senhas.

Pedindo desculpas pelo ocorrido, a companhia pediu a todos que modificassem suas palavras-chave para acesso aos serviços da Ubisoft, além de modificar também as de serviço que utilizem os mesmos emails. O perigo, aqui, é que os hackers consigam acesso a emails ou redes sociais a partir das informações obtidas, já que muita gente tende a usar as mesmas senhas em diversos sites diferentes.

4. Governo turco

54 milhões de cidadãos turcos tiveram seus dados pessoais, como nome, endereço e número de identidade, roubados quando um dos partidos políticos do país descobriu falhas em seu sistema de segurança. O total representa 70% da população e as informações foram obtidas a partir de um sistema que não contava nem mesmo com um mero antivírus para proteção.

Em duas horas, os hackers invadiram o sistema e copiaram todas as informações. Uma investigação se seguiu e descobriu que os criminosos estavam localizados na Rússia. Mas mais do que isso, a grande revelação foi de que partidos políticos do país estavam compartilhando informações dos eleitores com empresas e outros órgãos governamentais que, em teoria, não deveriam ter acesso a tais dados.

5. Evernote

50 milhões de usuários tiveram de resetar suas senhas após um acesso não-autorizado aos servidores do aplicativo de compartilhamento de anotações. A empresa não informou exatamente que tipo de dados foram acessados pelos criminosos, mas eles incluem nomes de usuário, senhas e emails.

O banco de dados, felizmente, não acabou sendo disponibilizado online. Mas ainda assim, a brecha representa perigo pela já citada tendência de muitos usuários repetirem suas senhas em diversos outros serviços. De acordo com o Evernote, nenhum dos documentos armazenados no sistema foi lido pelos invasores.

6. Living Social

Disponível nos Estados Unidos, a mistura de rede social com site de localização de descontos teve boa parte de sua base de usuários exposta quando 50 milhões de nomes, emails, datas de nascimento e senhas foram acessadas de maneira não autorizada por hackers. A brecha revelou uma falha gritante nos protocolos de segurança da empresa, que utiliza algoritmos simples e pouca proteção em suas informações.

Por outro lado, a boa notícia é que os dados bancários estavam armazenados em servidores diferentes e, por isso, acabaram ficando de fora do volume de dados acessados indiscriminadamente. O ataque motivou a troca em massa de senhas para acesso ao serviço.

7. Cupid Media

Outro serviço predominantemente americano, o site de relacionamentos amorosos sofreu um forte baque quando as informações de acesso a 42 milhões de contas de usuários acabaram expostas na internet. A coisa só se tornou mais complicada quando uma análise do banco de dados vazado revelou que, entre os cadastrados, estavam 56 funcionários do Departamento de Segurança Nacional dos Estados Unidos.

8. Yahoo Japão

Yahoo Japan

A brecha foi grande, mas o dano, pequeno. Em 2013, o banco de dados da versão japonesa do Yahoo – um dos sites mais acessados daquele país – foi invadido e os hackers tiveram acesso a 22 milhões de IDs de usuário. Informações confidenciais, como senhas ou dados pessoais, não foram comprometidas.

Sendo assim, o único resultado efetivo da quebra de segurança foi a liberação de uma lista com dezenas de milhões de emails, que acabaram resultando no envio de spams e possíveis tentativas de phishing contra os usuários do Yahoo.

9. CNWisdom

Na China, um grupo hacker autointitulado “Porto de Bens Maléficos” obteve acesso a um banco de dados de 20 milhões de reservas em hotéis. O alvo, na verdade, não eram os serviços facilitadores de hospedagem fornecidos pela empresa, e sim, as informações dos hóspedes que as acompanham.

Dessa forma, milhões de dados como nomes completos, números de telefones e endereços de email acabaram sendo disponibilizados na internet. E Prerad ainda lembra de um dado curioso: uma mulher teria cancelado seu próprio casamento após analisar os registros de hospedagem do futuro marido, descobrindo que ele não estava sendo totalmente honesto com ela.

10. Facebook

As redes sociais acabam sendo a mina de ouro de informações pessoais, com milhões de pessoas compartilhando voluntariamente seus dados com o público. Serviços como o Facebook costumam investir pesado em segurança e normalmente não aparecem em listas como essas, mas em 2013, um bug em um de seus sistemas garantiu o décimo lugar entre os maiores vazamentos de informação do ano.

A falha acontecia com o sistema de download das próprias informações, que permitia ao usuário baixar todo o histórico de postagem, fotos e informações hospedadas na rede. O problema é que, no segmento correspondente à lista de amigos, também estavam inclusas informações confidenciais como emails ou números de telefone, que não deveriam ser acessadas.

11. Snapchat

Snapchat

Em um ataque que atingiu um dos serviços com maior expansão da atualidade, 4,6 milhões de números telefônicos e nomes de usuários vazaram do banco de dados do Snapchat e acabaram sendo disponibilizados online. A falha aconteceu às vésperas do Ano Novo, o que fez com que a solução ainda levasse alguns dias para ser aplicada.

Leia também: Hackers do Snapchat explicam motivos por trás de vazamento de informações

A sequência de problemas continua. O especialista em segurança Chris Soghoian afirma ter avisado o Snapchat sobre a falha que motivou o vazamento de dados e diz ter sido ignorado solenemente pela companhia. Além disso, o fundador do serviço, Evan Spiegel, estampava o noticiário de tecnologia devido à recusa de uma oferta de compra pelo Facebook, no valor de US$ 3 bilhões. Não havia momento pior para uma brecha de segurança como essa.

12. Groupon Taiwan

As compras coletivas também são um sucesso em Taiwan, mas por lá, a abrangência do serviço também o transformou em um alvo fácil para hackers. Segundo comunicado oficial da empresa, um grupo de criminosos acessaram indevidamente os servidores da companhia e tiveram acesso a 4,1 milhões de informações de login e senhas de acesso. O objetivo do ataque, porém, era as informações bancárias dos usuários, que acabaram não sendo obtidas.

13. Advocate Medical Group

Após o roubo de quatro computadores desprotegidos de uma das sedes da associação, 4 milhões de pacientes tiveram seus dados pessoais expostos, com informações como nomes, endereços, números de Seguro Social e datas de nascimento disponíveis na internet. O caso levantou investigações pela justiça americana e foi considerado uma das maiores violações do HIPAA, um tratado que garante atendimento médico e privacidade a cidadãos americanos que acabaram de perder seus empregos.

De acordo com informações das autoridades, o prédio administrativo invadido pelos ladrões contava com câmeras de segurança, mas não tinha alarmes nem seguranças de plantão. Mas mais do que isso, duras críticas ao sistema foram feitas devido ao fato de informações de pacientes estarem disponíveis sem nenhuma forma de proteção.

14. Maricopa Community Colleges

Em um dos vazamentos mais sérios do ano passado nos Estados Unidos, 2,4 milhões de informações acadêmicas de alunos da instituição vazaram na internet, juntamente com dados como números de identidade, carteiras de motoristas e até mesmo informações bancárias. O segundo lote de informações incluía ainda funcionários da universidade.

Em resposta ao caso, o órgão anunciou investimentos de mais de US$ 7 milhões em segurança da informação, de forma a evitar mais problemas do tipo.

15. Schnucks

Em outro caso considerado bastante sério, hackers tiveram acesso ao sistema de informações da rede de supermercados durante um período de quatro meses, coletando dados de usuários e informações bancárias. Ao todo, 2,4 milhões de clientes foram comprometidos e a saúde da marca foi bastante debilitada.

Tudo só piorou quando nove pessoas entraram com um processo na justiça, exigindo reparação por eventuais danos causados pela brecha. O resultado foi US$ 635 mil em custos processuais e indenizações, um movimento que acabou culminando na renúncia do CEO da empresa, Scott Schnuck.

16. Vodafone Germany

Em um caso taxado pela empresa como um “trabalho interno”, dois milhões de dados de clientes foram roubados dos sistemas da companhia para uso malicioso. Entre as informações estavam nomes, endereços, datas de nascimento e números de cartões de crédito e contas bancárias usadas para pagamento de contas da operadora.

17. Ubuntu Forums

Ubuntu

O ponto de encontro dos amantes de software livre se tornou alvo de hackers quando toda sua base de usuários, com 1,8 milhão de pessoas, foi comprometida. Nomes de usuário, senhas e emails foram roubados e tiveram que ser resetadas às pressas, enquanto hackers tentavam usar as informações para acessar outros serviços ou promover ataques com malwares.

18. Washington Courts

Apesar de menor em número de pessoas comprometidas, uma brecha de segurança no banco de dados do estado americano de Washington resultou no vazamento de um milhão de carteiras de motorista e 160 mil números de identidade de cidadãos dos Estados Unidos. Entre as vítimas estavam, inclusive, membros do governo estadual.

19. Drupal

Em mais um caso de empresa que acabou sendo prejudicada pela falta de segurança de terceiros, um milhão de dados foram roubados do banco de dados da Drupal, incluindo informações como senhas, emails e endereços. O culpado foi um software instalado dentro da infraestrutura de servidores, que continha uma série de vulnerabilidades.

20. Corporate Car Online

850 mil pessoas, em sua maioria executivos, celebridades e citados na lista dos 50 mais ricos dos Estados Unidos, tiveram seus dados roubados dos servidores da locadora de limusines após uma grave quebra de segurança. Entre as celebridades que tiveram informações como números de cartão de crédito e endereços vazados na internet estavam Tom Hanks, LeBron James e Donald Trump.

Fonte: blog de Mihajlo Prerad no LinkedIn