Fonte: IT Fórum 365
Sempre ouvimos falar que “tal ano foi o ano dos vazamentos e brechas de segurança”. As falhas acontecem por uma infinidade de motivos: bancos de dados desprotegidos, funcionários desatentos, políticas fracas de segurança. Além, claro, dos tradicionais ataques. Mas 2019 definitivamente não foi um ano comum. O que vimos, em grande parte, foram empresas privadas, o setor público e, em especial, redes sociais deixando escapar muita coisa.
Uma pesquisa da Risk Based Security considera que o número de violações em 2019 aumento 33% em relação ao ano de 2018. Assim, separamos algumas das principais brechas de segurança do ano para relembrar como melhores práticas precisam ser aplicadas:
Facebook
A percepção de uso da rede social de Mark Zuckerberg foi bem alterada com os vazamentos constantes e expressivos. Em abril, 540 milhões de registros foram expostos: nomes, IDs e senhas foram encontrados em um servidor aberto.
O Facebook vem sendo investigado, acumulando multas e pressionado sobre suas tecnologias.
Collection 1
Em janeiro, um pesquisador de segurança identificou um banco de dados armazenado no serviço MEGA com mais de 773 milhões de e-mails e 22 milhões de senhas, reunidos com base em violações de dados desde 2008.
Estas informações foram compartilhadas em um fórum de hackers, logo, não há precisão sobre quem de fato acessou os dados.
4 bilhões de dados
Usuários de redes sociais certamente podem ter se preocupado com essa. Um servidor desprotegido, com cerca de 4 TB de dados e 4 bilhões de registros, foi encontrado e divulgado em outubro.
Cerca de 1,2 bilhão de pessoas foram atribuídas a quantidade de dados encontrada.
O pacote continha dados do Facebook e LinkedIn. Informações como nomes, e-mails, números de telefone e dados dos perfis podiam ser encontradas no pacote. O servidor sequer tinha uma senha e podia ser acesso normalmente.
Gearbest
Lá em março, uma pesquisa da VPN Monitor identificou um banco de dados desprotegido da empresa chinesa de comércio Gearbest. A companhia é popular também no Brasil, fazendo a ponte entre produtos importados para consumidores brasileiros.
Pesquisadores da empresa conseguiram acessar um banco de dados com 1,5 milhão de registros. O mais alarmante é que o banco desprotegido trazia informações sobre pagamentos, endereços de cobrança, histórico de pedidos e informações sensíveis sobre usuários.
Google Chrome
No mês de agosto, foi divulgada uma brecha de segurança no navegador Google Chrome que expôs cerca de 2 bilhões de usuários. A falha foi identificada no navegador distribuído para Windows, macOS e Linux, mas não para dispositivos móveis.
A brecha já foi corrigida, porém podia enganar usuários. Ela permitia executar códigos maliciosos na máquina invadida, o que poderia aumentar significativamente o poder do ataque se direcionado a empresas e órgãos do governo.
Bancos brasileiros
Em julho, o site The Hack publicou o vazamento de um banco de dados com 250 GB de documentos digitalizados de brasileiros clientes de instituições financeiras. A falha foi identificada por membros do Data Grupo.
Entre os dados, era possível encontrar versões digitais de documentos como RG, CPF, CNH, comprovantes de endereço, contratos, ordens de pagamento, holerites e até cartões de crédito.
Capital One
Também em julho, a Capital One anunciou que um hacker acessou informações de mais de 100 milhões de cidadãos dos Estados Unidos, além de 6 milhões de canadenses que solicitaram cartões de crédito desde 2005.
Segundo a empresa, o hacker acessou dados relativos de 2005 a 2019. Dados pessoais como nomes, endereços, e-mails, números de telefone e datas de nascimento podiam ser acessados.
Dubsmash
O Dubsmash já foi mais popular, de fato. Antes dos Stories em todos os aplicativos e do TikTok, ele teve uma bela fama no Brasil, também. Mas, em fevereiro, o aplicativo anunciou que hackers extraíram uma base com cerca de 162 milhões de dados.
Foram identificados nomes de usuários, endereços de e-mail e senhas no formato hash. Apesar do anúncio, a violação aconteceu em dezembro de 2018; o banco de dados foi vendido na dark web em fevereiro deste ano.
