Violações de dados: o guia WIRED completo

A história das violações de dados

As violações de dados têm sido cada vez mais comuns e prejudiciais há décadas. Alguns se destacam, porém, como exemplos instrutivos de como as violações evoluíram, como os invasores são capazes de orquestrar esses ataques, o que pode ser roubado e o que acontece com os dados após a ocorrência de uma violação.

As violações de dados digitais começaram muito antes do uso generalizado da Internet, mas eram semelhantes em muitos aspectos aos vazamentos que vemos hoje. Um incidente histórico ocorreu em 1984, quando a agência de relatórios de crédito TRW Information Systems (agora Experian) percebeu que um de seus arquivos de banco de dados havia sido violado. O tesouro era protegido por uma senha numérica que alguém extraiu de uma nota administrativa em uma loja da Sears e postou em um “quadro de avisos eletrônico” – uma espécie de Google Doc rudimentar que as pessoas podiam acessar e alterar usando sua conexão de telefone fixo. A partir daí, quem soubesse visualizar o quadro de avisos poderia usar a senha para acessar os dados armazenados no arquivo TRW: dados pessoais e históricos de crédito de 90 milhões de americanos. A senha ficou exposta por um mês. Na época, a TRW informou que trocou a senha do banco de dados assim que soube da situação. Embora o incidente seja diminuído pela violação do ano passado da agência de relatórios de crédito Equifax (discutida abaixo), o lapso TRW foi um aviso para empresas de dados em todos os lugares – um que muitos claramente não deram atenção.

Violações em grande escala, como o incidente TRW, ocorreram esporadicamente com o passar dos anos e o amadurecimento da Internet. No início da década de 2010, à medida que os dispositivos móveis e a Internet das Coisas expandiram consideravelmente a interconectividade, o problema das violações de dados tornou-se especialmente urgente. Roubar pares de nome de usuário/senha ou números de cartão de crédito – até mesmo violar um tesouro de dados agregados de fontes já públicas – pode dar aos invasores as chaves para toda a vida online de alguém. E certas violações, em particular, ajudaram a alimentar uma crescente economia da dark web de dados de usuários roubados.

Um desses incidentes foi uma violação do LinkedIn em 2012, que inicialmente parecia expor 6,5 milhões de senhas. Os dados foram criptografados, ou embaralhados criptograficamente, como uma proteção para torná-los ininteligíveis e, portanto, difíceis de reutilizar, mas os hackers rapidamente começaram a “quebrar” os hashes para expor as senhas reais dos usuários do LinkedIn. Embora o próprio LinkedIn tenha tomado precauções para redefinir as senhas das contas afetadas, os invasores ainda aproveitaram bastante ao encontrar outras contas na Web em que os usuários reutilizaram a mesma senha. Essa higiene de senha negligente muito comum significa que uma única violação pode assombrar os usuários por anos.

O hack do LinkedIn também acabou sendo ainda pior do que parecia. Em 2016, um hacker conhecido como “Peace” começou a vender informações de contas, principalmente endereços de e-mail e senhas, de 117 milhões de usuários do LinkedIn. Os dados roubados da violação do LinkedIn foram reaproveitados e revendidos por criminosos desde então, e os invasores ainda têm algum sucesso explorando os dados até hoje, já que muitas pessoas reutilizam as mesmas senhas em várias contas há anos.

As violações de dados não se tornaram verdadeiramente forragem de mesa de jantar, até o final de 2013 e 2014, quando os principais varejistas Target, Neiman Marcus e Home Depot sofreram violações maciças uma após a outra. O hack da Target, divulgado publicamente pela primeira vez em dezembro de 2013, afetou as informações pessoais (como nomes, endereços, números de telefone e endereços de e-mail) de 70 milhões de americanos e comprometeu 40 milhões de números de cartão de crédito. Apenas algumas semanas depois, em janeiro de 2014, a Neiman Marcus admitiu que seus sistemas de ponto de venda foram atingidos pelo mesmo malware que infectou a Target, expondo as informações de cerca de 110 milhões de clientes da Neiman Marcus, juntamente com 1,1 milhão de crédito e débito números de cartão. Então, após meses de consequências dessas duas violações, a Home Depot anunciou em setembro de 2014 que hackers haviam roubado 56 milhões de números de cartões de crédito e débito de seus sistemas instalando malware nos terminais de pagamento da empresa.

Um ataque ainda mais devastador e sinistro estava ocorrendo ao mesmo tempo. O Office of Personnel Management é o departamento administrativo e de RH dos funcionários do governo dos EUA. O departamento administra autorizações de segurança, realiza verificações de antecedentes e mantém registros de todos os funcionários federais anteriores e atuais. Se você quer saber o que está acontecendo dentro do governo dos EUA, este é o departamento para hackear. Então a China fez.

Hackers ligados ao governo chinês se infiltraram na rede do OPM duas vezes, primeiro roubando os projetos técnicos da rede em 2013, iniciando um segundo ataque logo em seguida, no qual obtiveram o controle do servidor administrativo que gerenciava a autenticação para todos os outros logins do servidor. Em outras palavras, quando o OPM percebeu completamente o que havia acontecido e agiu para remover os invasores em 2015, os hackers conseguiram roubar dezenas de milhões de registros detalhados sobre todos os aspectos da vida dos funcionários federais, incluindo 21,5 milhões de números de CPF. e 5,6 milhões de registros de impressões digitais. Em alguns casos, as vítimas nem eram funcionários federais, mas estavam simplesmente ligados de alguma forma a funcionários do governo que haviam passado por verificações de antecedentes. (Essas verificações incluem todos os tipos de informações extremamente específicas, como mapas da família, amigos, associados e filhos de um sujeito.)