O Amazon Informa sobre uma Violação de Dados Pouco Antes do Black Friday
As empresas de tecnologia multi-bilionárias ficaram tão grandes não apenas porque apresentaram um produto inovador e fizeram um bom trabalho de marketing. No mundo on-line, os usuários precisam se sentir seguros quando estão aproveitando um determinado serviço, e é por isso que os grandes empreendimentos da Internet investem milhões em segurança cibernética. As pessoas geralmente assumem que, graças a todo esse dinheiro, esses gigantes nunca podem perder nossos dados. No entanto, de vez em quando, um deles experimenta um incidente que ilustra como esta suposição está errada. Ontem foi a vez do Amazon.
Índice
O Amazon fez um estrago
Amanhã é o Black Friday, e só podemos imaginar o quanto os maiores escritórios de varejo on-line do mundo estão movimentados enquanto se preparam para o dia de compras mais ativo do ano. Não temos idéia se isso tem algo a ver, mas aparentemente, um funcionário do Amazon encarregado de manipular os dados de alguns usuários cometeu um erro constrangedor e deixou algumas informações expostas.
Normalmente, uma conta no Amazon contém muitos dados confidenciais, tais como o histórico de compras, endereços de faturamento e entrega, detalhes do cartão de crédito, etc. Saber qual parte deles pode ter vazado não é uma experiência divertida.
Não precisa entrar em pânico (por enquanto)
Felizmente, os dados comprometidos não eram tão sensíveis. Os endereços de e-mail de algumas pessoas foram expostos e uma parte dos usuários afetados também teve os seus nomes vazados. Atualmente, não há relatos de algo mais valioso que tenha ido parar nas mãos erradas.
O Amazon está convencido de que o problema agora está resolvido e que não há necessidade imediata dos usuários alterarem as suas senhas. Mas esse é realmente o caso?
Bem, isso depende muito do que é a sua senha do Amazon. Se for fraca, você definitivamente deve pensar em alterá-la, especialmente se estiver usando-a para proteger mais de uma conta. De fato, o Amazon não colocou isso em perigo imediato, mas outros fornecedores podem, e então as conseqüências podem ser bastante severas.
Esse e-mail parece ser de phishing
O Amazon ontem certamente recebeu muitas críticas da comunidade de segurança de informação . No entanto, não foi pelo erro técnico que expôs os dados dos usuários. Foi pelos e-mails que o varejista on-line enviou para os clientes afetados. Aqui está com o que uma das mensagens se parecia:
#tech Algumas comunicações excessivamente casuais (e sem pedir desculpas) do @Amazon sobre o vazamento de um e-mail/hack - Não tenho nem certeza se é um e-mail real ou spam.
cc: @AmazonHelp, confirme se este e-mail é realmente do @Amazon? De que maneira os e-mails foram divulgados e para quem? pic.twitter.com/fBFvLTJXHe
— Srinivas KC (@srinivaskc) November 21, 2018
Pequenos e médios proprietários de empresas lendo isso podem fazer um pequeno experimento. Pegue o e-mail acima e mostre para os seus funcionários. Se todos eles disserem que parece suspeito, você está seguro. Se alguns deles acham que não há nada de errado com isso, você pode pensar em organizar um programa de treinamento anti-phishing.
É incrível como uma grande empresa conseguiu fazer isso tão errado. Tome o link no final como um exemplo. Um link em um email é um pouco inesperado, na melhor das hipóteses.O Amazon não apenas o incluiu na sua notificação de violação, como também o publicou com http:// em vez de https://. Depois, há a completa falta de qualquer informação concreta sobre o incidente.
Quem foi responsável? Por quanto tempo os dados foram expostos? Quantas pessoas foram afetadas? O que o Amazon fez para proteger os dados? O que ele fez para garantir que isso não aconteça novamente?
Essas perguntas, por mais válidas que sejam, permanecem sem resposta pelo curto e-mail . Quando os repórteres tentaram obter mais informações, o Amazon permaneceu de boca fechada, o que significa que algumas pessoas agora estão avaliando as chances do varejista on-line estar, na verdade, escondendo alguma coisa.
A resposta do Amazon a todo o problema foi menos do que perfeita, iso deve ser dito, e não é como se os reguladores parecessem estar com pressa de fazer algo a respeito, o que levanta algumas questões sobre a eficácia do GDPR e do resto das novas regras e regulamentos de segurança de dados.
Em suma, muitas conclusões podem ser tiradas do que parece ser um incidente relativamente pequeno e de baixo impacto. Infelizmente, muitos deles não nos fazem sentir particularmente otimistas em relação ao futuro.
