Categorias
Segurança Digital

5 casos em que empresas pagaram caro por falhas de segurança digital

Segurança digital; duas palavras mágicas que todo usuário assíduo da internet já conhece. Mas o que acontece quando empresas esquecem delas?

Uma coisa em que podemos concordar facilmente em 2021 é que segurança digital não é uma ideia nem um pouco nova. Estamos falando aqui de um conceito quase tão antigo quanto a própria internet.

E mais do que antigo, também é uma ideia extremamente importante – ainda mais para quem desenvolve softwares, onde a segurança pode ser a diferença entre manter ou não o seu emprego.

Inclusive, já falamos sobre o tema algumas vezes em nosso blog, em particular ao dar dicas sobre o LastPass. Mas aí pode surgir a pergunta: o que acontece quando uma empresa deixa isso de lado?

Em alguns casos, talvez só seja preciso pedir que os usuários troquem de senhas – já em outros, pode levar a verdadeiras catástrofes.

O portal CIO, da IT Mídia, traz um estudo alertando para o fato de que 40% dos usuários de softwares-como-serviço já perderam dados online.

Além dos danos causados aos clientes, que muitas vezes nem sabiam das brechas de segurança, isto também afeta a imagem e valor dos provedores destes softwares.

Então, para ilustrar este ponto, trouxemos algumas das falhas mais sérias que vieram à tona nos últimos 5 anos.

1. Quando o Zoom deixou seus usuários sem segurança digital em meio à pandemia

Se você estava entre os primeiros a partir para o Zoom no começo da pandemia, talvez já conheça essa história. Mas, de qualquer forma, vamos recapitular a saga:

Logo em março de 2020, pouco depois de a pandemia atingir o ocidente, muitas pessoas passaram a usar o Zoom para suas reuniões online. O problema? Além de usuários, também vieram à tona vários problemas de segurança. Problemas, estes, que incluem crimes cometidos através da prática de Zoom bombing. Mas vamos por partes.

No início, os tais “Zoom bombings” eram o único problema – mas isto não os torna menos sérios. Em resumo, “Zoom bombimg” era a prática de invadir chamadas no Zoom sem ser convidado. Algo que se tornou muito mais comum do que devia por um simples motivo: no início, as salas de reunião do Zoom apareciam nos resultados do Google por padrão.

Como resultado, incontáveis reuniões foram interrompidas por alguém berrando no microfone, ou até aparecendo com pornografia na tela – em alguns casos mostrando imagens ilegais.

Por si só, este escândalo já seria horrível, mas tem mais! Logo no mês seguinte, em abril, foi descoberto que usuários podiam captar a senha do Windows de outros através do chat, se estes não tomassem cuidado.

E em junho, especialistas descobriram uma falha de segurança na opção de enviar GIFs no chat, além de problemas ao implementar a encriptação de ponta-a-ponta.

Ufa. Parece muita coisa, mas é importante deixar claro que o Zoom corrigiu, sim, estas falhas. Mas o gosto amargo de ter que lidar com toda essa série de falhas permanece…

2. Zynga: indo do "FarmVille" a sérias brechas de segurança

Depois de falarmos de pessoas compartilhando pornografia no Zoom, é hora de pegar mais leve. Desta vez, não temos pessoas realizando atividades ilegais na frente de uma câmera, mas nem por isto a brecha encontrada pela Zynga em 2019 deixa de ser séria.

A empresa, que, no passado, foi uma gigante dos jogos online, anunciou a brecha no fim de 2019. Segundo o anúncio, os jogos afetados foram “Words With Friends” e “Draw Something“.

Algo que o anúncio não menciona, porém, é o volume de contas afetadas: cerca de 170 milhões!

A boa notícia é que os invasores não conseguiram acessar as informações financeiras dos usuários e nada indica que tenham obtido acesso às suas contas do Facebook.

Mas, por outro lado, foram quase 200 milhões de logins e senhas. E, quando muitos usam senhas repetidas para vários sites, é fácil imaginar o efeito em cascata que isso pode ter gerado.

Na época, isto fez a brecha ranquear como a 10ª maior brecha monitorada pelo site Have I Been Pwned – o que não é exatamente um ranking para se orgulhar.

3. A Uber abandona a segurança digital dos usuários para esconder uma brecha

Tentar esconder um erro para evitar consequências é um instinto humano e uma sensação pela qual muita gente passa. Mas e quando esse pensamento passa pela mente de um alto executivo de empresa a nível global?

Bom, este é basicamente o cenário em que a gerência da Uber se encontrou em 2016. É difícil dizer quando, exatamente, a invasão ocorreu, já que o anúncio só veio em novembro de 2017.

Segundo o (eventual) anúncio, a invasão afetou 57 milhões de usuários dos aplicativos da Uber – tanto motoristas quanto passageiros. Até aí, nada particularmente chamativo. Este tipo de invasão é (infelizmente) comum, mas geralmente é apenas uma questão de trocar senhas e avisar os usuários.

Mas a Uber, ao invés de avisar seus usuários, pagou 100.000 dólares aos hackers como um “resgate”. E, para piorar, pediu que eles assinassem um termo de confidencialidade – tudo isso sob ordens do seu executivo de segurança na época.

Vale deixar claro que, para adicionar a cereja a esse bolo, o anúncio da Uber sobre a brecha não foi uma questão de o executivo mudar de opinião e corrigir seu próprio erro.

A questão só veio à tona após uma investigação dos diretores da companhia – algo que, no início, era focado apenas nas práticas de negócios. Encontrar a falha de segurança foi apenas um efeito adicional.

O executivo em questão não estava mais na empresa quando a brecha foi anunciada, então espera-se que algo assim não ocorra mais.

4. Yahoo: invasão atinge 3 bilhões de contas

Quando falamos de números, não há invasão maior que a invasão do Yahoo de 2013.

Sim, estamos fugindo um pouco do título aqui, já que a invasão ocorreu há cerca de 7 anos atrás. Mas o anúncio da brecha surgiu só em 2016, e especialistas só descobriram a real escala do problema em 2017, 4 anos depois.

Novamente temos um caso onde a empresa demorou anos até avisar os seus usuários – mas pelo menos não pagaram nada aos hackers. Não que isto sirva de muito consolo, no fim das contas.

Este caso é um pouco confuso à primeira vista, já que estamos falando de um ano em que a Yahoo divulgou duas brechas. A primeira brecha divulgada ocorreu em 2014, onde 500 milhões de contas ficaram vulneráveis.

Como se isso não fosse o bastante, um mês depois a Yahoo divulgou uma segunda brecha, esta de 2013. A estimativa inicial dizia que a brecha afetou 1 bilhão de contas, o que já era o bastante para dizer que foi a pior brecha de segurança digital de todos os tempos.

Mas, um ano depois do anúncio, em 2017, especialistas descobriram o número final. A resposta? Todas.

Literalmente todas as contas presentes na base de dados do Yahoo em 2013 foram afetadas. São um total de 3 bilhões de contas vulneráveis.

3 bilhões de e-mails, 3 bilhões de senhas, 3 bilhões de acessos com dados pessoais inclusos nos dados das contas.

Por que o número exato ficou em segredo por tanto tempo, ninguém sabe ao certo – muito menos como conseguiram esconder. Mas o fato de que a empresa de telecomunicações Verizon comprou a Yahoo pouco antes de o número total ser revelado certamente é uma pista.

5. Especialistas em segurança digital ainda odeiam o TeamViewer

O TeamViewer é um software que, de tempos em tempos, aparece no noticiário com más notícias.

Em mais um caso de um anúncio de uma brecha surgindo anos depois do ocorrido, um anúncio que vem à tona é de 2019, mas trata de uma falha ocorrida em 2016.

Nesta brecha, um grupo de hackers chinês conseguiu usar o TeamViewer para enviar malware a várias empresas, deixando uma brecha que os permitisse acessar os computadores afetados remotamente quando quisessem.

A TeamViewer alega que avisou os usuários afetados assim que o evento ocorreu. Mas, como isto não foi anunciado ao público até 3 anos depois do ocorrido, não deixa uma boa impressão.

E esta impressão só piora quando pensamos sobre outra brecha de 2016 onde usuários alegam que invasores acessaram suas contas bancárias através de uma brecha no TeamViewer, permitindo que sacassem todo o dinheiro.

Mas o pior quase ocorreu ainda este ano quando, em fevereiro de 2021, um invasor teve acesso a uma usina de tratamento de água da cidade de Oldsmar, no estado americano da Flórida.

A invasão em Oldsmar

Acessando a conta de um dos funcionários, o invasor mudou as configurações da planta para aumentar o volume de reagentes químicos na água. Geralmente, estes reagentes são depositados em quantidades baixas e apenas reagem com impurezas para limpar a água.

Mas, neste caso, o invasor aumentou o nível em 11.000% – um aumento que teria envenenado 15 mil habitantes com soda cáustica se a usina não tivesse outras funções de segurança impedindo esta alteração brusca.

Pouco após a invasão, especialistas descobriram que vários funcionários da mesma planta compartilhavam uma senha para login. E, para piorar, os sistemas desta planta ainda utilizavam o Windows 7, que foi descontinuado e não recebe mais atualizações constantes.

A combinação destes fatores fez com que o FBI publicasse um aviso para que as pessoas não fizessem uso do TeamViewer com o Windows 7, devido ao programa ter acesso fácil a partes vitais do sistema operacional.

Bônus: "Collection #1"

Temos mais um último caso por hoje, mas aqui não temos nenhuma empresa específica que tenha cometido um erro, e sim uma lista preocupante.

A “Collection #1” (“Coleção Número 1”) foi uma lista descoberta em janeiro de 2019, quando estava sendo vendida no submundo da internet. Ela é um acúmulo de centenas, ou talvez milhares de ataques e invasões, coletando dados de várias pessoas.

No total, foi a maior lista de e-mails já encontrada, com 773 milhões de e-mails distintos. Pode parecer menor que a invasão à Yahoo que mencionamos antes, mas vale lembrar que, naquele caso, muitas contas tinham e-mails repetidos. Aqui estamos falando de dados completamente distintos.

Até hoje, especialistas em segurança digital ainda não conseguem confirmar de onde vieram todos estes dados. Os hackers envolvidos dizem que foram mais de 2000 ataques, mas é comum ver números inflados nestes casos.

Infelizmente, neste caso não há muito o que possamos dizer de positivo. Apenas reforçamos as tradicionais dicas de segurança:

  • Use senhas longas e difíceis de adivinhar;
  • Ative autenticação em duas etapas quando possível;
  • Não reutilize a mesma senha várias vezes;
  • Troque as suas senhas de tempos em tempos; e
  • Utilize um gerenciador de senhas para dar mais proteção aos seus dados.

E também deixamos aqui um convite: se você se assustou com alguma destas invasões, saiba que a LogMeIn possui alternativas seguras a aplicativos como o Zoom (GoToMeeting) e TeamViewer (Rescue).

E, é claro, um gerenciador de senhas seguro e confiável: o LastPass.