Apesar de ter acontecido em 2013, a falha de segurança que expôs dados de 110 milhões de clientes e 40 milhões de credenciais de cartões de crédito e débito da Target teve novos desfechos durante este ano, com a renúncia do CIO da companhia, Beth Jacob, em março. A crise instaurada na varejista levou à demissão do CEO Greegg Steinhafel, que dirigia o grupo desde 2008, por decisão do conselho de administração, em maio.
Este ano, a vítima da vez é a Sony Pictures, que teve seus sistemas invadidos por hackers há três semanas, mas a proporção dos danos parece não ter fim. Além de ver suas grandes produções cinematográficas inéditas vazadas na internet, a companhia tem sido ameaçada pelos autores do ataque, que prometem um “presente de Natal” para a empresa na próxima semana.
O cibercrime é hoje a terceira atividade ilícita mais nociva à economia global, que gera prejuízo anual na ordem de US$ 400 bilhões, o que representa de 15% a 20% da receita movimentada por ano pela internet, segundo relatório da Trend Micro. No Brasil, apesar de não termos muitos casos públicos sobre vazamento de dados, eles levaram a perdas entre R$ 16 bilhões a R$ 18 bilhões em 2013, ou 0,32% com relação ao Produto Interno Bruto (PIB).
Listamos abaixo os principais casos de invasão e roubo de dados a grandes organizações que ganharam atenção da mídia em 2014 e resultaram em prejuízos não só financeiros, mas danos aos clientes – afinal as informações roubadas são vendidas pelos criminosos.
Cada violação custa cerca de US$ 5,4 milhões às empresas afetadas, segundo a Authentify. Esse valor inclui despesas legais, liquidação, custo para notificar consumidores e cancelar os cartões de crédito/débito afetados. A estimativa é de que, em média, uma empresa que tem seus dados violados precisa arcar com um custo de US$ 188 por registro comprometido – em uma violação típica de dados são comprometidos 28 mil registros, em média.
1. Sony Pictures
Os prejuízos causados pelo ataque à Sony Pictures são estimados em US$ 100 milhões tamanha a proporção da invasão. O comprometimento aos sistemas da empresa resultou na exposição de dados confidenciais e propriedade intelectual: os vazamentos incluem diversos filmes e produções cinematográficas, e-mails confidenciais de diretores, calendários de produções, entre outros. Em episódio mais recente do caso, acontecido em 24 de novembro, a companhia foi processada por funcionários que tiveram seus dados pessoais hackeados.
A Sony Pictures foi alertada três dias antes do ataque por e-mail pelos invasores, pertencentes ao grupo denominado “Guardians of Peace”. Os criminosos ameaçaram atacar a Sony Picture mais uma vez no Natal, caso a empresa exibisse seu novo filme “A entrevista”, que teria sua estreia em 25 de dezembro, mas frente às ameaças foi cancelado pela empresa. O filme relata um plano fictício da CIA de assassinar o líder da Coreia do Norte. Diante disso, suspeitam indicam que o grupo de ciberatacantes é coreano, apesar de o FBI não confirmar o fato.
2. JP Morgan
O banco norte-americano JP Morgan levou um mês para descobrir o ataque a 90 computadores da empresa acontecido em julho. O caso veio à tona no fim de outubro e comprometeu 83 milhões de contas bancárias (76 milhões de contas domésticas e 7 milhões de contas de pequenas empresas). Os atacantes acessaram nomes, endereços, números de telefone e e-mails de correntistas do JP Morgan. O banco, contudo, informou que não houve fraude envolvendo o uso de informações de clientes. Os hackers conseguiram acesso remoto aos servidores do banco rompendo um controle de segurança robusto. As investigações sobre o caso ainda continuam.
3. P.F. Chang’s
A rede de restaurante P.F. Chang’s foi vítima de ciberataque em agosto de 2014 que comprometeu 33 das 211 instalações. A companhia já havia sido alertada pelo serviço secreto norte-americano em junho sobre problemas de segurança envolvendo roubo de dados de cartões de crédito e débito. Os invasores utilizaram um malware poderoso para roubar números de cartões de crédito, datas de validade e nomes dos clientes do restaurante durante oito meses. Até o momento, a rede não divulgou o número de clientes que teve seus dados roubados.
4. Snapchat
O aplicativo baseado na ideia de mensagens e fotos que se “autodestroem” foi vítima de um ataque em outubro que resultou na exposição de um pacote de mais de 13 GB, contento 100 mil imagens de usuários. O app é utilizado por mais de 100 milhões de pessoas e estimado em US$ 10 bilhões. Hackers tiveram acesso a esses dados por meio de serviços terceiros, não autorizados peloSnapchat. Além disso, a empresa está envolvida em outro roubo de dados: notícias desta semana revelam que e-mails que foram vazados da Sony Pictures abriram acordos entre as duas empresas sobre futuros projetos relacionados com serviços de música e parceria com Twitter.
5. eBay
O site de compras norte-americano relatou, em maio desse ano, que seu sistema de segurança foi violado por hackers, permitindo o roubo de nomes de clientes, endereços de e-mails encriptados e senhas de sua base de dados. O eBay garantiu que a vulnerabilidade não expôs dados de cartão de crédito, mesmo assim recomendou que todos seus 154 milhões de clientes trocassem suas senhas de acesso por precaução, já que não se sabia ao certo a quantidade de usuários que tiveram seus dados comprometidos.
6. Governo norte-americano
O ataque ao serviço postal norte-americano totalizou a quarta invasão aos sistemas do governo dos Estados Unidos nos últimos meses. A falha de segurança prejudicou os sistemas de e-mail e websites do departamento em 16 de novembro. Houve danos à base de dados, que inclui informações de clientes que contataram o call center da agência, como números de telefone e endereços. A invasão é semelhante às que foram direcionadas à Casa Branca e outras duas agências norte-americanas, administração oceânica e atmosférica, e também resultaram na interrupção temporária dos sistemas de comunicação. Especialistas em segurança apontam que ataques têm sido realizados por grupos de hackers da China.
7. Michael
A falha de segurança na varejista norte-americana, confirmada em janeiro, envolveu o roubo de dados de cartão de crédito e débito de 3 milhões de clientes. A proporção dos danos foi confirmada em abril pela companhia, que informou que os criminosos estavam acessando dados de clientes por meio de seu sistema de pagamento durante meses. Outra subsidiária da empresa, a Aaron Brothers, também foi comprometida, e teve registros de pagamento de 400 mil pessoas roubados. As companhias de segurança contratadas para investigar o caso não encontraram o sofisticado malware utilizado para hackear os sistemas.
8. Japan Airlines
A empresa aérea japonesa entrou para a lista das empresas vítimas de ciberataque durante o ano, que acarretou no roubo de dados 750 mil clientes de seu programa de fidelidade. O caso veio a público no fim de setembro e, segundo a companhia, os criminosos tiveram acesso a informações como nomes, gênero, data de aniversário, e-mail, endereços e local de trabalho dos membros do programa de milhagem. A Japan Airlines afirmou que dados de cartão de crédito e senhas dos usuários não foram roubados.
9. The Home Depot
A varejista norte-americana de produtos para o lar e construção civil teve seu sistema de pagamento hackeado em setembro. Cerca de 56 milhões de registros de cartão de crédito de seus clientes foram roubados pelos ciberatacantes. A empresa informou que foi comprometida por um malware instalado em seus sistemas de pagamento.
10. Kickstarter
Em fevereiro, o site de financiamento coletivo Kickstarter teve de pedir a seus usuários cadastrados para trocar suas senhas. A empresa teve seus servidores invadidos por hackers que obtiveram acessos a logins e senhas de visitantes. O site possui cerca de 6 milhões de usuários, contudo, a companhia informou que os criminosos não tiveram acesso a informações dessas pessoas.
