Muitas empresas têm como objetivo construir operações mais resilientes e diminuir os riscos corporativos, assim como os riscos atrelados às suas cadeias de suprimentos.
De acordo com as informações do relatório Allianz Risk Barometer 2021, os incidentes cibernéticos caíram para o terceiro maior risco a nível global, mas continuam sendo um perigo chave, e ainda assim estão classificados como o maior risco corporativo em muitos países, incluindo Brasil, França, Itália, Japão, África do Sul, Reino Unido, Espanha e Índia.
No relatório publicado pelo Fórum Econômico Mundial (WEForum) estima que de 2019 até 2023, cibercriminosos deverão extorquir em torno de US$ 5.2 trilhões de organizações privadas, governos e indivíduos.
Assim como a empresa Forrester Consulting divulgou um relatório concluindo que 94% dos executivos entrevistados sofreram ataques cibernéticos que afetaram o negócio nos últimos 12 meses.
A busca dos criminosos pela violação de dados digitais se intensifica cada vez mais. Diversas empresas (pequenas, médias e grandes) imaginam que jamais serão vítimas de um crime cibernético.
A falta de conscientização faz com que muitas pessoas ainda caiam em fraudes digitais, inclusive as organizações com tecnologias e sistemas falhos e desatualizados que facilitam um acesso não autorizado.
Conforme os incidentes cibernéticos vêm se intensificando cada vez mais, a B10SEC sempre recomenda que as organizações invistam não só em tecnologias, como também em melhoria dos processos internos e conscientização, tanto de seus fornecedores, clientes quanto dos colaboradores.
Em 2020, escândalos de grandes vazamentos de dados ganharam manchetes nos noticiários no Brasil e no mundo.
Mediante a estes grandes vazamentos de dados pessoais, as organizações sofreram grandes impactos, trazendo para os gestores enormes preocupações para 2021.
Sobre alguns dos vazamento de dados de grande escala de 2020 do Brasil:
Natura
Em maio de 2020, a equipe de segurança da Safety Detectives anunciou o vazamento de dados do site da Natura, incluindo diversos dados pessoais em dois servidores hospedados na Amazon com 272 GB e o outro com 1,3 TB.
Identificado em abril de 2020, as informações estavam disponíveis pelo menos desde o dia 26 de março de 2020 e de acordo com os logs do servidor, as informações de pagamento de 40 mil clientes da Wizecard, empresa terceirizada, também ficaram disponíveis ao público por mais de duas semanas.
Nubank
Em julho de 2020, o Nubank foi mais uma das empresas que devido a uma falha de segurança, foi possível obter dados pessoais através da aplicação.
Um pesquisador brasileiro relatou que o problema estava no recurso do aplicativo do banco digital, que permitia a obtenção de dados como nome do cliente, seu CPF, número da conta corrente e agência.
Sendo esta exposição poderia ter sido evitada realizando um teste de invasão alinhado a práticas de avaliação de impacto na privacidade, que evitaria a manipulação dos dados por parte do usuário, assim como aplicaria o princípio da minimização na publicação de dados pessoais.
SPtrans
Em julho de 2020, a empresa responsável pelo gerenciamento do transporte coletivo da cidade de São Paulo expôs dados de 37 milhões de usuários.
Esta vulnerabilidade, relatada pelo profissional de segurança da informação, identificado como Moscow, consistiu em realizar um alto volume de tentativas de acessar um sistema por segundo, até que o próprio permitisse o acesso (força bruta).
Com base no CPF e RG da pessoa era possível obter acesso a demais dados do usuário, como foto, endereço, filiação, sexo, telefone, naturalidade e estado civil.
Diversas vulnerabilidades foram apontadas que permitiam a exposição destes dados, demonstrando a falta de aplicação de práticas de desenvolvimento seguro, assim como testes de segurança na aplicação.
Ministério da saúde
Em 2020, aconteceram 2 grandes vazamentos de dados do Ministério da Saúde. O primeiro vazamento, em outubro, expôs dados de 16 milhões de pessoas.
O problema foi causado por uma ação de um funcionário do Hospital Albert Einstein que tinha acesso liberado ao banco de dados que afirmou ter publicado senhas no GitHub para fazer um teste e esquecido de removê-la posteriormente.
Depois, em Dezembro, devido a uma falha humana, o Ministério da Saúde expôs dados de 243 milhões de brasileiros na internet.
O vazamento foi causado por um tratamento inadequado de login e senhas que foram inseridos no código-fonte do site, com a codificação insegura em Base64, que podiam ser acessados a partir do modo de inspeção existente nos navegadores.
Com base em diversos incidentes de vazamentos já tratados pela equipe B10SEC, recomendamos que as Organizações sigam algumas de nossas recomendações:
1. Aplique práticas de cibersegurança e de privacidade;
- Antes de publicar um nova aplicação ou funcionalidade do sistema, seja web, mobile, ou outro tipo, realize uma avaliação de impacto na privacidade (PIA) alinhado a práticas de desenvolvimento seguro, visão de fraudes digitais e os requisitos legais, evitando que dados pessoais fiquem expostos;
- Realize teste de invasão com práticas básicas relacionadas às leis e regulamentações de proteção de dados, reduzindo assim a exposição aos dados pessoais;
- Crie uma segunda camada de segurança para os seus usuários, permitindo que além do usuário e senha, seja possível utilizar o 2FA (2º fator de autenticação) em suas aplicações.
2. Conscientize e treine todos os colaboradores sobre práticas seguras;
- Cuidado com o uso de senhas fracas e o compartilhamento inseguro de usuários e senhas de contas de serviços;
- Não publique ou compartilhe de forma insegura o token de integração das aplicações (API);
- Cuidado ao trabalhar com serviços gratuitos como Github, Pasterbin, entre outros. Não publique informações confidenciais nesses serviços, como usuários, senhas, tokens, logs de serviços, entre outros dados.
3. Não ignore alertas de segurança;
- Ignorar sinais de alertas de segurança é uma das grandes causas de violação de dados no mundo corporativo, um simples e-mail com um boleto falso são indícios que a Organização pode estar sofrendo ataques direcionados.
4. Mantenha o ambiente e sistemas tecnológicos atualizados e configurados de forma segura
- Diversas vulnerabilidades são exploradas devido a falta de atualização (gestão de patch) e falta de configurações específicas nas tecnologias, seja em ambiente cloud ou interno.
