O que é um vazamento de dados?

Escrito na categoria "Como usar a Internet" por André M. Coelho.

Um vazamento de dados ocorre quando dados confidenciais são acidentalmente expostos fisicamente, na Internet ou de qualquer outra forma, incluindo discos rígidos ou laptops perdidos. Isso significa que um cibercriminoso pode obter acesso não autorizado aos dados confidenciais sem esforço.

Vazamento de dados pessoais e violação de dados pessoais

Embora os termos violação de dados e vazamento de dados sejam frequentemente usados de forma intercambiável, eles são dois tipos distintos de exposição de dados:

Uma violação de dados ocorre quando um ataque bem-sucedido é capaz de proteger informações confidenciais.

Um vazamento de dados não requer um ataque cibernético e geralmente decorre de práticas inadequadas de segurança de dados ou ação acidental ou inação de um indivíduo.

O que são os vazamento de informações?

Uma forma comum de vazamento de dados é chamada de vazamento de nuvem. Um vazamento de nuvem ocorre quando um serviço de armazenamento de dados em nuvem, expõe os dados confidenciais de um usuário à Internet.

A pior parte é que, uma vez ocorrida a exposição dos dados, é extremamente difícil saber se os dados foram acessados. Isso significa que seus dados confidenciais, segredos comerciais, código-fonte, dados de clientes, dados pessoais e qualquer outra coisa armazenada em sistemas de informação podem ser expostos ou usados como parte de espionagem corporativa.

Vazamentos de dados são causados por erros simples, mas aqueles cujos dados são expostos não se importam com a forma como os dados foram expostos, apenas que foram. Os requisitos de notificação de violação para vazamentos de dados são os mesmos, assim como o potencial de danos à reputação, financeiros, legais e regulatórios.

Os serviços em nuvem oferecem grandes vantagens para o local, mas trazem novos riscos que podem resultar em violações de segurança por meio de vazamentos de dados.

O que os cibercriminosos procuram em dados vazados?

A principal coisa que os cibercriminosos procuram são as informações de identificação pessoal. As informações pessoais incluem números de previdência social, números de cartão de crédito e quaisquer outros dados pessoais que possam resultar em roubo de identidade. Observe que nem todas as informações de identificação pessoal são o que você tradicionalmente consideraria informações confidenciais. Dados simples como o nome ou o nome de solteira da mãe também são alvos.

Outro alvo comum são as informações médicas ou de saúde protegida. São informações que são criadas por um provedor de saúde e se relacionam com a saúde física ou mental passada, presente ou futura ou condição de qualquer Individual.

1. Informação de clientes

Esses dados variam de empresa para empresa, mas geralmente há alguns fatores comuns envolvidos:

Informações de identidade: nome, endereço, número de telefone, endereço de e-mail, nome de usuário, senha

Informações de atividade: pedido e histórico de pagamento, hábitos de navegação, detalhes de uso

Informações de cartão de crédito: números de cartão, códigos CVV, datas de validade, códigos postais de cobrança

Informações específicas da empresa também podem ser expostas. Isso pode ser financeiro para bancos e grupos de investimento, registros médicos para hospitais e seguradoras ou documentos e formulários confidenciais para entidades governamentais.

2. Informações de empresas

As informações do cliente não são a única coisa. Informações corporativas podem ser vazadas, incluindo:

Comunicações internas: memorandos, emails e documentos detalhando as operações da empresa

Métricas: estatísticas de desempenho, projeções e outros dados coletados sobre a empresa

Estratégia: detalhes de mensagens, roteiros, rolodexes e outras informações críticas de negócios

A exposição desse tipo de informação pode prejudicar os projetos da empresa, dar aos concorrentes uma visão das operações de negócios e revelar a cultura interna e as personalidades. Quanto maior a empresa, maior o interesse por esse tipo de dado.

3. Segredos comerciais

Essa é a coisa mais perigosa a ser exposta em um vazamento de dados. Informações críticas para o seu negócio e sua capacidade de competir. Os segredos comerciais incluem:

Planos, fórmulas, designs: informações sobre produtos e serviços existentes ou futuros

Código e software: tecnologia proprietária que a empresa vende ou construída para uso interno

Métodos comerciais: estratégias de mercado e contatos

A exposição desse tipo de dados pode desvalorizar os produtos e serviços que sua empresa oferece e desfazer anos de pesquisa.

4. Analytics

A análise depende de grandes conjuntos de dados contendo várias fontes de informações que revelam tendências, padrões e trajetórias em geral. Tão importante quanto a análise é para muitas empresas, os dados necessários para realizar a análise podem ser um vetor de risco se não forem protegidos de forma adequada. Os dados do Analytics incluem:

Dados psicográficos: preferências, atributos de personalidade, dados demográficos, mensagens

Dados comportamentais: informações detalhadas sobre como alguém usa um site, por exemplo

Dados modelados: atributos previstos com base em outras informações coletadas

A análise fornece uma maneira de entender os indivíduos como um conjunto de pontos de dados e prever suas próximas ações com um alto grau de precisão.

Vazamento de dados e os perigos

Quando os dados são vazados, todos os afetados sofrem riscos e podem ser diretamente afetados pelo problema. (Imagem: Channel Futures)

Como acontece um vazamento de dados?

Para entender por que os vazamentos de dados acontecem, precisamos dar um passo atrás e entender como as informações são geradas, manipuladas e usadas. Hoje em dia, é quase uma conclusão precipitada que existem enormes conjuntos de dados confidenciais e as empresas os estão usando.

Quando examinamos a segurança da informação, fica claro que organizar um processo resiliente é difícil em escala. Lacunas operacionais, erros de processo e pouca conscientização sobre segurança cibernética podem levar a ativos vulneráveis, o que leva a vazamentos de dados.

Os benefícios e riscos dos dados digitais são os mesmos. Os dados digitais podem ser reproduzidos de forma barata e sem degradação. As organizações têm muitas cópias de dados de produção que incluem dados de clientes, segredos comerciais e outras informações confidenciais. Ferramentas de prevenção de perda de dados, armazenamento, recuperação de desastres, ambientes de desenvolvimento e teste, serviços de análise e os laptops que seus funcionários levam para casa podem armazenar cópias de seus dados mais confidenciais e de seus clientes.

A questão é que existem muitas cópias de dados e quanto mais cópias de dados, maior a chance de que algo ou alguém possa expô-los acidentalmente.

Segurança de aplicativos e a cadeia de custódia de dados

Quando você processa dados, eles estão efetivamente fluindo por uma cadeia de custódia. Pode ser tão simples quanto sua cabeça para o seu computador ou tão complexo quanto fluir através de vários serviços em nuvem em várias geografias.

O principal a ser entendido é que a segurança inadequada de aplicativos e as medidas de segurança cibernética em qualquer parte da cadeia de custódia podem causar vazamento de dados. É por isso que o gerenciamento de risco de terceiros e o gerenciamento de risco do fornecedor são fundamentais para qualquer negócio. Não são mais apenas os fornecedores de defesa e empresas de serviços financeiros que precisam se preocupar com a segurança dos dados. É todo mundo.

A digitalização está mudando fundamentalmente os negócios e as repercussões estão afetando pequenas empresas e grandes multinacionais. Embora você possa não estar no negócio de dados, ainda gera muitos deles. Mesmo que você venda bens físicos como carros ou forneça um serviço como saúde, é provável que esteja gerando, processando e até mesmo terceirizando dados em algum lugar.

E, embora sua empresa possa ter ferramentas de segurança e proteção contra malware, se terceiros que estão processando seus dados não o fizerem, seus dados ainda poderão ser expostos.

Como os vazamentos de dados podem ser explorados?

Quatro formas comuns de exploração de vazamentos de dados são:

Engenharia social: as operações de engenharia social mais eficazes são conhecidas como spearphishing. Isso ocorre quando um cibercriminoso envia um e-mail falso direcionado com base em informações conhecidas para melhor representar uma autoridade ou executivo. As informações expostas em vazamentos de dados, especialmente dados psicográficos e comportamentais, são exatamente o tipo de dados necessários para aguçar ataques de engenharia social e dar aos criminosos cibernéticos a capacidade de usar informações contra um alvo que eles normalmente não conheceriam.

Doxxing: as informações de identificação pessoal podem ser usadas para outras atividades além da fraude de cartão de crédito. Doxxing é uma prática de adquirir e publicar as informações de uma pessoa contra sua vontade. A doxxing é realizada por vários motivos. Em casos de extremismo político, vendetas, assédio ou perseguição, as informações expostas podem causar danos reais às pessoas.

Vigilância e inteligência: os dados psicográficos têm muitos usos. Seu propósito é prever e formar opiniões. As campanhas políticas o utilizam para ganhar votos e as empresas o utilizam para conquistar clientes.

Interrupção: vazamentos de dados podem ser usados ??para desacelerar ou interromper as operações de negócios, podendo expor informações confidenciais ao público. As informações expostas em um vazamento de dados podem ter consequências drásticas para o governo, empresas e indivíduos.

Por que vazamentos de dados são importantes?

Considere este cenário:

Sua equipe de marketing precisa mover sua lista de e-mail de um provedor de serviço de e-mail para outro e eles armazenam os dados na nuvem, mas não são utilizados enquanto a equipe decide sobre a nova ferramenta. Uma vez que a ferramenta foi decidida, os contatos são carregados para a nova ferramenta e está tudo bem. Exceto que a equipe de marketing se esqueceu de limpar o bando de dados original e por acaso ele foi configurado para acesso público total.

Isso pode parecer um erro humano e é. O problema não é que alguém cometeu um erro, o problema é que nada estava no lugar para evitar o erro em primeiro lugar ou pelo menos detectar que ele havia acontecido para que pudesse ser corrigido imediatamente.

Você pode pensar que isso não é grande coisa, são apenas emails, mas e se fosse sua lista de clientes ou, pior, as informações de identificação pessoal do seu cliente? Até os endereços de e-mail são importantes e podem resultar em danos irrefutáveis ??à reputação. A resiliência deve ser construída no trabalho processual que é realizado dia após dia.

A principal coisa a entender é que vazamentos de dados, como violações de dados, podem ser explorados. Aqui estão quatro maneiras comuns de explorar vazamentos de dados:

1. Fraude de cartão de crédito

Os cibercriminosos podem explorar informações vazadas de cartão de crédito para cometer fraude.

2. Vendas no mercado negro

Uma vez que os dados são expostos, eles podem ser leiloados na dark web. Muitos cibercriminosos se especializam em encontrar instâncias de nuvem desprotegidas e bancos de dados vulneráveis ??que contêm números de cartão de crédito, números de previdência social e outras informações de identificação pessoal para vender para fraude de identidade, spam ou operações de phishing. Pode ser tão simples quanto usar consultas de pesquisa no Google.

3. Extorsão

Às vezes, informações são mantidas sob controle de uma empresa como resgate ou para causar danos à reputação.

4. Vantagens competitivas degradantes

Os concorrentes podem tirar vantagem de vazamentos de dados. Tudo, desde suas listas de clientes até segredos comerciais, dá aos concorrentes acesso aos seus recursos e estratégia. Isso pode ser tão simples quanto o que sua equipe de marketing está trabalhando ou operações logísticas complexas.

Como o vazamento de dados pode ser evitado?

A forma como as informações são tratadas difere de um setor para outro, de uma empresa para outra e até de uma pessoa para outra. Existem diretrizes gerais que você deve seguir ao operar em um setor regulamentado.

Dito isso, em última análise, caberá à sua organização e aos seus empregadores seguir os padrões no dia-a-dia. Para simplificar, a maioria dos vazamentos de dados são problemas operacionais e não problemas tradicionais de segurança cibernética. Os vazamentos de dados não são causados ??por cibercriminosos, mas podem ser explorados por eles.

As três maneiras comuns de evitar violações de dados são as seguintes:

1. Validação

À medida que o armazenamento em nuvem se torna mais comum, a quantidade de dados que está sendo movida para dentro e para fora do armazenamento em nuvem aumenta exponencialmente. Sem o processo adequado, os dados confidenciais podem ser expostos em um balde não seguro. É por isso que as configurações de armazenamento em nuvem devem ser validadas na implantação e durante o tempo de hospedagem de dados confidenciais. As validações contínuas minimizam o risco de cibersegurança de que os dados sejam expostos e podem até notificá-lo de forma proativa se ocorrer acesso público.

2. Automação

Em uma escala grande o suficiente, a validação se torna difícil de policiar. Os computadores são muito melhores em manter a uniformidade do que as pessoas. Os controles de processo automatizados devem atuar como documentação executável para garantir que todo o armazenamento em nuvem esteja protegido e permaneça seguro.

3. Risco de terceiros

Os fornecedores podem expor suas informações tão facilmente quanto você. Mesmo que você não exponha os dados de seu cliente, ainda será responsável pelo vazamento de dados aos olhos de seus clientes e, muitas vezes, de seus reguladores. Isso torna a avaliação de risco de terceiros, risco de terceiros e avaliações de risco de segurança cibernética tão importante quanto a segurança cibernética interna e o gerenciamento de riscos de informações.

Ficou alguma dúvida? Deixem nos comentários suas perguntas!

Sobre o autor

Autor André M. Coelho

No final da década de 90, André começou a lidar diretamente com tecnologia ao comprar seu primeiro computador. Foi um dos primeiros a ter acesso à internet em sua escola. Desde então, passou a usar a internet e a tecnologia para estudar, jogar, e se informar, desde 2012 compartilhando neste site tudo o que aprendeu.

Deixe um comentário