Principais violações de dados em nuvem atualmente

Ganhar exposição de notícias geralmente é uma coisa boa para a maioria das empresas, especialmente se for algo positivo apresentado. No entanto, há um tipo de título que nenhuma organização quer fazer. Nos últimos anos, tem havido uma explosão de violações de dados quase inacreditáveis, fazendo manchetes de notícias que resultaram em algo mais que um resultado positivo para as organizações envolvidas.

Como o mundo em que vivemos se tornou muito mais digital por natureza, os volumes de informação e dados estão aumentando exponencialmente. Esses dados podem cair nas mãos erradas se não estiverem adequadamente protegidos. Os hackers e outros agentes de ameaças têm essa massa enorme de dados diretamente em seus olhos. Ninguém está excluído dessa ameaça. Ele existe em todos os setores, indústrias e tecnologias.

Proteger dados tornou-se, sem dúvida, a tarefa mais importante para profissionais de TI, engenheiros de DevOps, desenvolvedores e executivos. Ao analisarmos o ano passado de 2018, é muito fácil ver que a violação de dados ou o vazamento de informações confidenciais não é um problema que está desaparecendo tão cedo. Na verdade, a cada ano que passa, a violação de dados se tornou um problema de segurança cada vez mais comum em todos os setores. Vamos dar uma olhada nas Principais violações de dados em nuvem de 2018 lições aprendidas para examinar algumas das maiores violações de dados e o que as organizações podem aprender com esses eventos em termos de proteção de dados e como esses riscos afetam os dados armazenados na nuvem.

O que é violação de dados e por que ela é pertinente?

Violação de dados é a obtenção de informações por um invasor, geralmente usando meios maliciosos, de maneira não autorizada. Quando se pensa em violação de dados, é semelhante a alguém roubar itens físicos tangíveis de uma loja sem pagar por eles ou ter permissão para fazê-lo. A diferença é que a violação de dados envolve roubar itens digitais valiosos que geralmente contêm informações confidenciais.

A violação de dados é uma ameaça extremamente preocupante à segurança de qualquer organização que usa, processa, armazena ou trabalha com dados. Os dados podem ser compostos de várias coisas. No entanto, em geral, os dados que são utilizados pelas empresas atualmente podem conter registros que incluem informações sobre clientes ou parceiros. No contexto da violação de dados, geralmente as violações de dados que fazem as manchetes dos jornais são violações dos dados do cliente e suas informações pessoalmente identificáveis.

Esses talvez sejam o pior tipo de violação, pois expõem o consumidor a roubo de dados e privacidade, arruinam a confiança do cliente nos negócios e geram grandes repercussões para o negócio do qual os dados vazaram. O que é informação pessoalmente identificável ou PII? Pode incluir nome, endereço, número de telefone, endereço de e-mail, informações financeiras, incluindo números de cartão de crédito, números de previdência social e muitos outros tipos de informações que identificam pessoalmente um indivíduo.

O roubo de informações pessoalmente identificáveis ​​pode ser usado para comprometer a identidade de um indivíduo, o que pode ser extremamente preocupante. O roubo desta informação pode levar a grandes problemas para um indivíduo, incluindo cobranças fraudulentas, crédito arruinado e problemas legais. A informação de saúde também está se tornando alvo de invasores. O setor de saúde em geral abriga uma enorme quantidade de dados eletrônicos sobre pacientes, incluindo informações de saúde protegidas para informações financeiras. A saúde moderna é extremamente dependente da tecnologia. Os hospitais de hoje usam uma miríade de dispositivos eletrônicos para atender pacientes. Isso leva a um alvo amplo e atraente para atacantes de uma perspectiva de superfície de ataque.

Ninguém quer que suas informações sejam roubadas ou tiradas sem permissão. Isso inclui informações pessoais privadas, informações financeiras, como cartões de crédito ou informações bancárias, ou informações privadas de saúde. No entanto, esses são os principais alvos dos invasores que hoje desejam roubar ou vazar intencionalmente dados de maneira não autorizada para o mundo externo. A principal vantagem das empresas é que elas devem estar atentas, tratar a segurança como prioridade, implementar políticas e procedimentos de segurança, treinamento e tecnologia para garantir a segurança dos dados dos clientes.

Principais violações de dados em nuvem em 2018

É extremamente valioso examinar as violações de dados anteriores que vazaram dados, pois elas geralmente expõem as principais áreas que as organizações precisam analisar para ajudar a evitar violações de segurança e vazamentos de dados em geral. Vamos dar uma olhada nas principais violações de dados em nuvem em 2018 e ver como elas foram realizadas, quais dados vazaram e a fraqueza que foi exposta pela violação. Examinaremos as seguintes violações de dados de 2018:

  1. Base de dados nacional do ID de Aadhaar India
  2. Cambridge Analytica
  3. Marriott Starwood Hotéis
  4. Exactis
  5. Facebook

Vamos dar uma olhada em cada uma das violações de dados que ocorreram com os eventos de vazamento de dados acima e ver como elas foram realizadas, bem como as consequências do evento.

Base de dados nacional do ID de Aadhaar India

Esta foi uma grande violação de dados que expôs literalmente mais de um bilhão de cidadãos da Índia - 1,1 bilhão para ser exato. O banco de dados indiano de Aadhaar é um banco de dados de identificação do governo que oferece informações sobre identidade, biometria e outras informações sobre mais de 1,1 bilhão de cidadãos indianos registrados. O banco de dados tem impactos de longo alcance para os cidadãos indianos, pois eles podem usar os dados encontrados no banco de dados para realizar muitas atividades, incluindo abrir contas bancárias, comprar itens, inscrever-se em serviços públicos e receber ajuda ou assistência financeira. Foi observado que a Amazon e outras grandes empresas utilizam o banco de dados Aadhaar para identificar clientes.

Especificamente, as informações expostas ao exterior incluíam informações como os nomes dos membros do Aadhaar DB, seus números de identidade que são números exclusivos de 12 dígitos atribuídos e informações sobre os serviços para os quais são assinados, como dados bancários etc. Inscrever-se no banco de dados Aadhaar Não é uma ação obrigatória, no entanto, os cidadãos indianos são bastante coagidos a fazê-lo, uma vez que não são capazes de acessar serviços básicos prestados pelo governo, se não o fizerem.

O que levou à enorme violação de dados do banco de dados Aadhaar? Um ponto de extremidade da API inseguro. Um pesquisador de segurança encontrou um ponto de extremidade de API exposto diretamente do site, o que permitia inserir um token de acesso codificado que permitia a consulta indiscriminada de números de Aadhaar. Além disso, não havia limites de taxa em vigor para pesquisas de consulta. Isso significa que o pesquisador de segurança pode enviar milhares de pesquisas por minuto ao servidor e fazer com que ele retorne os resultados.

Um dos detalhes extremamente surpreendentes da história é que as autoridades indianas não fizeram nada para fechar a falha durante semanas após terem sido informadas da exposição dos dados. Somente depois que as notícias da Internet sobre o vazamento começaram a aparecer, o endpoint vulnerável ficou offline.

Cambridge Analytica

Esta foi uma história que fez grandes manchetes com o Cambridge Analytica acessando dados do Facebook para identificar os eleitores. A Cambridge Analytica é uma firma de consultoria política britânica criada em 2013 que decidiu usar a tecnologia, incluindo mineração de dados e análise durante os processos eleitorais. Em 2018, ocorreu a notícia de que a Cambridge Analytica foi acusada de coletar dados de perfis do Facebook sem consentimento e usar esses dados para fins políticos de maneira não autorizada.

Esta não foi a primeira vez que a Cambridge Analytica foi acusada de usar dados coletados de maneira antiética. Em 2015, acreditava-se que a Cambridge Analytica estava trabalhando para o senador Ted Cruz colher dados de milhões de contas do Facebook sem o consentimento. Depois de vários petiscos e outros denunciantes, descobriu-se que a Cambridge Analytica coletou informações do Facebook de maneira inapropriada, levando a uma investigação do Congresso dos EUA sobre as alegações que levaram Mark Zuckerberg a testemunhar.

Os dados de até 87 milhões de usuários ficaram comprometidos com esse vazamento de dados, que incluía informações como as encontradas no perfil público do Facebook, em curtir páginas, aniversário e cidade atual. Alguns usuários do Facebook receberam permissões de aplicativos para seus feeds de notícias, linhas do tempo e mensagens. Todas as informações coletadas a partir dos dados vazados permitiram que a Cambridge Analytica criasse perfis políticos de cada usuário do Facebook e visasse anúncios políticos específicos para influenciá-los de uma maneira particular.

Marriott Starwood Hotéis

Em um comunicado divulgado em 30 de novembro de 2018 , o Marriott Starwood Hotels indicou que havia reconhecido uma violação de segurança de dados em seu banco de dados, que acreditava ter comprometido cerca de 500 milhões de pessoas que fizeram uma reserva em uma propriedade da Starwood. Foram comprometidos cerca de 327 milhões de registros de convidados que continham informações como nome, endereço postal, número de telefone, endereço de e-mail, número do passaporte, informações contábeis do Starwood Preferred Guest, data de nascimento, sexo, informações de chegada e partida, data da reserva e preferências de comunicação. Para alguns, no entanto, essas informações também incluíam números de cartões de pagamento e datas de vencimento criptografadas com criptografia AES-128. Marriott não tinha certeza se os dois componentes necessários para descriptografar os números foram obtidos ou não.

Em recente notícia, o CEO da Marriott revelou que:

… 383 milhões de registros de convidados e 18,5 milhões de números de passaportes criptografados foram violados. Os detalhes incluíam 9,1 milhões de números de cartões de pagamento criptografados e 385.000 números de cartão válidos, além de 5,25 milhões de números de passaporte não criptografados. Ele negou que a China fosse a culpada pelo hack.

Parece que um Trojan de Acesso Remoto foi encontrado nos sistemas de TI da Starwood que permitiam aos hackers acessar secretamente e assumir o controle de sistemas críticos de TI, incluindo o banco de dados de convidados.

Exactis

A Exactis é uma empresa de marketing sediada na Flórida que coleta e comercializa dados de consumidores com o objetivo de criar publicidade direcionada mais específica. O detalhe alarmante da violação da Exactis é que a exposição de dados é de natureza altamente pessoal das vítimas expostas. Quais informações foram expostas? Os dados vazados incluíam números de telefone, endereço físico, endereços de e-mail, interesses, detalhes sobre seus filhos, suas idades, sexos, etc. Outras informações altamente pessoais também foram incluídas, como detalhes sobre sua religião, hábitos de fumar e até mesmo animais de estimação.

Um pesquisador de segurança chamado Vinny Troia encontrou a exposição maciça de dados da Exactis usando uma ferramenta de busca bem conhecida chamada Shodan. Ele descobriu bancos de dados em servidores acessíveis ao público. Um desses bancos de dados que era um banco de dados Exactis que estava completamente exposto, desprotegido.

Detalhes do escopo da exposição a vazamentos de dados são surpreendentes. Cerca de 340 milhões de registros contendo informações de dois terços dos consumidores e os demais negócios foram expostos. Uma informação positiva sobre a violação da Exactis foi que ela não incluía informações sobre cartões de pagamento ou outros detalhes, como números de seguridade social. As informações altamente pessoais e comportamentais comprometidas com essa violação de dados podem permitir que os cibercriminosos melhorem o sucesso de ataques de engenharia social ou usem spear phishing direcionado por e-mail ou mídia social com base no perfil adquirido das informações expostas.

Facebook

O ano de 2018 não foi um bom ano para o Facebook após o escândalo Cambridge Analytica, a segurança do Facebook foi comprometida e um ataque aos seus sistemas em setembro de 2018 levou a que quase 50 milhões de contas de usuários e informações pessoais fossem comprometidas. Isso se tornou a maior violação do Facebook em seus 14 anos de história como empresa.

A CNN informou que a violação dos 50 milhões de usuários pode significar que os hackers viram tudo sobre esse usuário. Eles poderiam ter até logado como aquele usuário e acessado todas as informações históricas e mensagens privadas para os comprometidos. A verdadeira extensão da brecha é provavelmente desconhecida ou a verdadeira falha ainda está por ser vista. O que se sabe é que esta é uma violação enorme para o Facebook com grandes quantidades de dados pessoais expostos para visualização externa. Devido a essa violação e ao escândalo anterior da Cambridge Analytica, o Facebook certamente sofreu algumas perdas financeiras e a confiança do usuário final em sua capacidade de usar seus dados de uma maneira “acima da placa” e de garantir a segurança desses dados.

O desafio de se proteger contra violação de dados na nuvem

Essas e muitas outras violações de dados em 2018 devem levar as organizações atuais, grandes e pequenas, a tomar nota. Os sistemas de infraestrutura de TI extremamente complicados que existem hoje estão espalhados por várias redes híbridas e da nuvem local para a pública. Os meios tradicionais de proteção de redes simplesmente não funcionarão no futuro. Atualmente, as organizações estão migrando enormes quantidades de dados para a nuvem pública e aproveitando os serviços de armazenamento em nuvem e e-mail mais do que nunca.

Isso significa que os meios tradicionais de proteger arquivos, pastas, e-mails e outros recursos não são mais relevantes nos atuais cenários de infra-estrutura centrados em nuvem.

Firewalls de perímetro certamente não são irrelevantes para organizações locais; no entanto, eles certamente não são eficazes quando o “perímetro” se estende para a nuvem pública. Devido à conectividade de nuvem pública, os usuários agora podem acessar dados de qualquer lugar e de qualquer dispositivo. Isso representa um desafio muito real para as organizações protegerem seus dados.

A aplicação de políticas e processos de controle de acesso que existem no local pode ser um verdadeiro desafio quando as organizações buscam estender a imposição de políticas a ambientes de nuvem pública. Além disso, muitas organizações, especialmente as menores, podem se esforçar para entender como estender tanto o monitoramento de segurança quanto a proteção de dados para a nuvem pública, pois eles têm controles totalmente diferentes em oposição aos ambientes locais.

Um perigo adicional para ambientes de nuvem pública inclui equívocos quanto à vulnerabilidade ou suposta falta de vulnerabilidade da nuvem. Quais são os equívocos comuns que podem levar ao desastre de segurança da nuvem pública? Muitos foram vítimas do equívoco em que a nuvem pública é imune a malware e, especificamente, a ransomware, além de ser imune à perda de dados. Esses dois equívocos não poderiam estar mais longe da verdade. Como foram detalhados por profissionais de segurança, incluindo o lendário Kevin Mitnick, ambientes de nuvem pública como o Microsoft Office 365 são vulneráveis ​​ao ransomware, o que certamente pode levar à perda de dados.

Infecções “RansomCloud” certamente podem causar estragos em ambientes de nuvem pública, criptografando e-mails, arquivos do OneDrive e outros recursos de nuvem pública, como foi bem documentado e demonstrado. As organizações geralmente se esforçam para entender como proteger adequadamente os dados existentes na nuvem pública, já que a funcionalidade de backup nativa correta está faltando nas ferramentas disponíveis oferecidas aos inquilinos. O que isto significa? Isso significa que as organizações devem tomar as preocupações com a proteção de dados por conta própria e fornecer sua própria solução para proteção de dados. Esses são aspectos extremamente cruciais da colocação de dados e serviços na nuvem que devem receber a devida atenção.

As organizações devem controlar a capacidade de controlar e ter visibilidade das atividades e comportamentos dos usuários finais no ambiente de nuvem, além de ter maneiras de monitorar e controlar os recursos que são compartilhados dentro e fora do ambiente de nuvem. Esse tipo de compartilhamento de dados, seja intencional ou inadvertido, pode levar a vazamentos sérios de dados e possivelmente expor dados confidenciais.

Todos esses fatores e muitos outros podem apresentar desafios para as organizações hoje encarregadas de impedir o vazamento de dados enquanto abrigam recursos na nuvem. Vamos dar uma olhada nas práticas recomendadas para evitar vazamento de dados na nuvem e ver como as empresas hoje podem aprender com os erros de outras pessoas e garantir que seus dados estejam seguros.