Uma violação de dados em um fabricante de equipamentos para eventos ao vivo revela dados pessoais e financeiros dos funcionários
Na semana passada, a TAIT Towers Manufacturing LLC, fabricante de equipamentos para eventos ao vivo e concertos que trabalhou com artistas como Lady Gaga e Taylor Swift, emitiu uma dessas declarações em que deve explicar como leva a segurança de dados muito a sério. Como muitos de vocês provavelmente sabem, as empresas fazem isso somente depois de sofrerem uma violação de dados.
O ataque realmente ocorreu há quatro meses em fevereiro, mas a empresa não soube até 6 de abril. Depois de tomar conhecimento da violação, iniciou imediatamente uma investigação, que ainda está em andamento. No entanto, o TAIT teve a gentileza de compartilhar conosco (e as pessoas diretamente afetadas pelo ataque) o que aconteceu.
Índice
Os hackers comprometeram um servidor TAIT e as contas de email dos funcionários
Em 16 de fevereiro, uma parte não autorizada comprometeu um dos servidores da TAIT e as contas de email de alguns dos funcionários da empresa. Uma vez lá dentro, os hackers tiveram acesso a muitos detalhes pessoais do pessoal do TAIT, incluindo nomes, endereços físicos e de e-mail, datas de nascimento, números do Seguro Social e números de contas financeiras. A TAIT encerrou a brecha, contratou uma empresa de segurança cibernética para ajudar na investigação e começou a trabalhar na implementação de medidas para garantir que incidentes semelhantes não ocorram no futuro.
A empresa está convencida de que não viu nenhuma evidência de uso indevido de dados, mas, por segurança, está pronta para fornecer gratuitamente aos funcionários afetados serviços de proteção contra roubo de identidade. A declaração fornece muitos detalhes sobre o que as pessoas precisam fazer para aceitar a oferta da TAIT.
Faltam muitas peças do quebra-cabeça
Como já mencionamos, a investigação ainda está em andamento, o que sugere que mesmo o TAIT ainda não teve uma visão completa. Dito isto, faltam tantos detalhes na declaração da semana passada, que o número de perguntas levantadas excede o número de perguntas respondidas.
Não sabemos, por exemplo, quantas contas de email foram atacadas. Também não há informações sobre o número de funcionários afetados, e nem sabemos se o ataque teve como alvo pessoas em uma região específica ou se afetou os escritórios da TAIT em todo o mundo. O método usado pelos hackers para comprometer os sistemas de TI da TAIT também é desconhecido, o que significa que é difícil dizer quão sofisticados são os adversários e quão ruins podem ser as consequências. Este não é o único problema.
Sobre a afirmação “levamos a segurança muito a sério”
As empresas são frequentemente criticadas por fornecer suas notificações de violação de dados com uma sentença padronizada que não faz um bom trabalho em convencer as pessoas de que a organização atacada "leva a segurança muito a sério". A declaração realmente não agrega valor à notificação e, em alguns casos, parece totalmente vazia.
Por exemplo, as pessoas encarregadas da segurança do TAIT fizeram a mesma reivindicação exata, mas não conseguiram garantir que o site da empresa carregasse sob HTTPS por padrão. Eles também se gabaram do sistema de autenticação multifatorial que eles introduziram. A autenticação multifatorial existe há anos e provou ser a maneira mais simples de garantir uma melhor proteção de dados. Dada a sensibilidade e o volume de dados que o TAIT está manipulando, a empresa provavelmente deveria ter pensado em implementá-lo antes do ataque dos cibercriminosos, e não depois dele.
Em suma, a notificação de violação do TAIT prova que é mais fácil dizer que você leva a sério a segurança do que realmente fazê-lo.
