Uma Violação de Dados na Desjardins Expõe as Informações Pessoais de 2,9 Milhões dos Seus Membros

Após uma violação de dados, as organizações afetadas geralmente emitem declarações oficiais que devem fornecer às pessoas mais informações sobre o que aconteceu. A redação tende a ficar um pouco confusa quando a empresa chega ao ponto em que explica o que foi feito para garantir que esses incidentes não ocorram no futuro. No aviso de violação de dados que o Desjardins Group emitiu ontem, no entanto, esse bit específico é especialmente vago. Antes de descobrirmos o porquê, vamos ver o que realmente aconteceu.

Desjardins Perde os Dados de 2,9 Milhões de Seus Clientes

Em 14 de junho, Desjardins foi contatado por policiais canadenses que viram dados pertencentes à federação de cooperativas de crédito sendo transferidos para fora de seus sistemas. Desjardins iniciou uma investigação imediata e descobriu que alguém realmente tinha fugido com cerca de 2,9 milhões de registros de clientes.

Os dados vazados pertencem a 2,7 milhões de clientes individuais (cerca de 7% da população do Canadá) e cerca de 173 mil empresas e, felizmente, os detalhes bancários realmente sensíveis não estão entre eles. Desjardins foi rápido em apontar que senhas, PINs, perguntas de segurança e detalhes de cartão de crédito e débito não foram afetados pela violação. Dito isto, algumas informações de identificação pessoal foram comprometidas.

Para usuários individuais, isso inclui nomes, datas de nascimento, números de previdência social, endereços de e-mail e físicos e dados sobre como eles usaram os produtos e serviços da Desjardins. Os dados vazados para empresas consistiam em nomes comerciais, números de telefone, endereços e informações pessoais das pessoas que tiveram acesso às contas corporativas.

Os indivíduos afetados podem se inscrever em um plano de monitoramento de crédito de 12 meses pago pela Desjardins e, para minimizar a chance de roubo de identidade, a instituição financeira atualizou seus procedimentos de verificação. Embora não tenha perdido nenhuma informação bancária, Desjardins prometeu que os clientes que puderem provar que sofreram perdas monetárias como resultado direto da violação receberão seu dinheiro de volta. A Autorité des Marchés Financiers, reguladora financeira de Quebec, disse que está "satisfeita" com a maneira como Desjardins está lidando com a "situação séria".

Por que, então, mencionamos que a notificação de violação de dados não é incrivelmente específica sobre as precauções que devem evitar incidentes semelhantes?

Um Único Funcionário Descontente era Responsável por Tudo

Descobrir o que aconteceu não foi um processo longo. Após uma rápida investigação, Desjardins percebeu que não havia sido alvo de um ataque cibernético. A violação foi causada por um funcionário infeliz que "traiu a confiança do empregador" e vazou os dados. Em outras palavras, as defesas de Desjardins foram derrubadas por dentro.

Essa é a raiz do problema. As pessoas que escreveram o aviso de violação de dados do Desjardins não apontaram o que a empresa fez para eliminar essa ameaça em particular, porque isso simplesmente não é possível.

Se o mundo moderno continuar trabalhando da maneira que está funcionando agora, funcionários como o responsável pela violação de dados da Desjardins precisam ter acesso às informações pessoais das pessoas. A maioria deles se mostrará honesta e diligente, mas inevitavelmente alguns deles serão desonestos e os detalhes das pessoas acabarão nas mãos erradas. O momento realmente triste, mas verdadeiro, é que, além de ficar vigilante, não há muito o que fazer.