Invasão, danos e como mitigar danos
CategoriaDESTAQUE Economia Tecnologia

Invasão, danos e como mitigar danos

8 de novembro de 2022 0 Por Redação Em Notícia

Por Thais Monteiro, advogada

Em outubro passado foi massivamente noticiado o ataque sofrido pela Uber. Após investigações internas, descobriu-se que um hacker/cracker de 18 anos invadiu o G-Suite e Slack corporativo, a invasão foi noticiada aos funcionários, estes ignoraram pois pensaram se tratar apenas de uma brincadeira. Após a repercussão negativa, as ações da empresa caíram 5% (cinco por cento).

Essa não é a primeira vez que a Uber se envolve em alguma polêmica envolvendo falhas graves de segurança.

Em 2019 foi divulgado o vazamento de mais de 57 milhões de usuários, incluindo nome, E-mail, dados de cartão de crédito, endereços e outros dados pessoais. Também houve vazamento dos motoristas cadastrados na plataforma.

A invasão

O hacker/cracker obteve credencial ilegal de um terceiro, tentando por diversas realizar o login com a credencial ilegalmente obtida, após não conseguir, contatou o funcionário pelo Whatsapp – isso mesmo – afirmando fazer parte da equipe de TI e por isso precisava acessar o ambiente – e assim conseguiu.

Ou seja, a invasão ocorreu da forma mais simples – e utilizada – por hackers/crackers, por meio da engenhosidade/engenharia social.

A técnica utilizada pelo hacker/cracker é conhecida como autenticação de múltiplos fatores.

A MFA – como é conhecida – é uma etapa de autenticação após o login e a senha, realizado por um segundo ou n fatores de autenticação.

Alguns exemplos:

– Senha + PIN
– Senha + impressão digital
– Senha + Dispositivo de Segurança

Outro caso

Outro caso foi o vazamento de 90 materiais audiovisuais de GTA 6.

A Take-Two, dona da Rockstar, já está derrubando todo o material disponível nas redes sociais, como o Twitter

A empresa soltou uma nota oficial explicando que o vazamento – considerado um dos maiores da indústria dos games – ocorreu após um acesso ilegal de terceiro não autorizado.

A última atualização obtida foi de que o FBI (Federal Bureau of Investigation) começou a investigar após a prisão de um adolescente de 17 anos, suspeito de ser o hacker da Uber, em Oxfordshire.

Apesar de tomar as providencias necessárias e retirar o conteúdo da rede, a empresa também sofreu com a queda de 6% da suas ações.

Erros evitáveis

A ausência de autenticação foi um fator ímpar para que a invasão se concretizasse, além disso, a falta de verificação de conscientização do funcionário contribuiu para a ação do hacker/cracker.

Outro ponto importante é a segmentação de acessos, segundo as notícias, o hacker teve amplo acesso a informações corporativas.

Por fim, ao que tudo indica, não houve acesso aos dados pessoais dos usuários, mas não há certeza se futuramente haverá massivo vazamento destes, pois não há como saber com absoluta certeza se houve ou não o acesso.

Outro ponto que Analistas de Segurança destacam é que o aumento de ataques de MFA por fadiga – acesso não autorizado em virtude do cansaço – e por isso, recomendam que o (s) outro (s) fatores de autenticação sejam realizados por meio de biometria ou outro dispositivo de segurança.

Sabe-se, contudo, que sim, é muito provável a divulgação das mensagens trocadas pelos funcionários do setor de finanças.

Métodos para mitigar danos

Nesse momento, as empresas estão passando por uma perda de credibilidade pelos usuários, além de uma enorme mancha na sua reputação.

Sabemos que nenhuma empresa está 100% segura, porém, há medidas de contenção e prevenção que todas devem tomas, são elas:

1. Segmentação de usuário, isto é, dependendo do nível hierárquico dentro da empresa, o acesso a determinados dados não ocorrerá. Exemplo: estagiário ter acesso as finanças da empresa.
2. Política de privacidade, isto é, a cultura de privacidade deve surgir desde o inicio da empresa
3. Firewalls e atualização de patches de segurança, servem para corrigir falhas graves que futuramente poderão ocasionar algum dano grave – como ocorreu.
4. Dispositivos de seguranca da rede, como um firewall de borda.
5. Notas oficiais explicando a invasão e as medidas adotadas pela empresa para reduzir os eventuais danos.
6. Treinamentos de funcionários e conscientização para melhores práticas no uso da internet.

Sobre Thaís Monteiro

É advogada e pós-graduanda em Direito 4.0: direito digital, proteção de dados e cibersegurança – PUCPR. Possui experiências nas áreas cível, marítima e consumerista, como estagiária do gabinete de juiz e atuação no Procon.

Compartilhe:
TagsProteção de dados Segurança Digital

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.