Por que a Violação da Equifax é uma Lição para Quem não Usa Senhas Diferentes para Cada Conta

Em setembro de 2017, uma agência de relatórios de crédito ao consumidor, a Equifax sofreu uma grave violação de dados. Durante a violação da Equifax, mais de 143 milhões de números do Seguro Social foram expostos e vazaram. Para colocar isso em perspectiva, esse número representa mais da metade da população adulta americana. Essas violações consecutivas lançam luz sobre muitos problemas latentes dentro da segurança cibernética corporativa. Nesta postagem, tentaremos rastrear o cronograma dessa importante violação da Equifax e veremos o que as empresas e usuários podem fazer para proteger as suas informações de identificação pessoal (IIP) para evitar o roubo de identidade.

A linha do tempo da violação de Equifax

Como mencionado, a princípio, a Equifax informou que a empresa foi hackeada em setembro passado. É sempre um pouco decepcionante ouvir que uma empresa que lida com dados pessoais é violada, e essa não foi uma exceção. De acordo com vários relatórios, os hackers conseguiam dados como datas de nascimento, números de carteira de motorista, números de cartão de crédito, endereços e assim por diante.

Uma das coisas mais perturbadoras sobre essa violação da Equifax foi que isso não aconteceu durante uma noite. Ocorreu ao longo de alguns meses, de maio a julho de 2017. Os hackers conseguiram acessar esses dados explorando uma vulnerabilidade no aplicativo do site da Equifax. Nem é preciso dizer que a Equifax prometeu rever o seu software para evitar futuros ataques, mas não parece que a empresa tenha conseguido fazer tudo de imediato, porque os relatórios de roubo de identidade continuaram a aparecer.

Por exemplo, em março deste ano, foi informado que outros 2,4 milhões de consumidores foram afetados pela mesma violação da Equifax que ocorreu no ano passado. Desta vez, os dados comprometidos não incluíam os números da Previdência Social, mas isso não significa que os dados violados não poderiam ter sido usados para roubo de identidade. A gravidade da situação era óbvia quando o ex-executivo-chefe Richard Smith renunciou quando as primeiras notícias sobre a violação da Equifax se manifestaram, aceitando a responsabilidade por ela.

Consequentemente, as autoridades apropriadas lançaram uma investigação sobre as atividades da Equifax para ver o que poderia ter sido feito para evitar esse roubo de identidade. A conclusão da investigação foi que a empresa não conseguiu manter os seus sistemas de computador atualizados. Além de não tomar medidas adequadas para evitar esses hacks, a Equifax também não divulgou a escala total da violação. Assim, só tivemos relatos dos dados que foram roubados por alguns meses desde a primeira divulgação.

Por isso, não é nenhuma surpresa que este mês tenhamos recebido mais relatórios sobre a violação da Equifax e, dessa vez, o roubo incluiu várias imagens de passaporte e informações relacionadas roubadas. É claro que, comparado com o número impressionante de 149,7 milhões de indivíduos que tiveram seus dados vazados, esse novo relatório não parecia tão grande. No entanto, se mais de 3200 fotos de passaporte vazaram, essa ainda é uma quantidade bem considerável. Pelo menos este conjunto de dados violados vazou durante a violação original, e nenhum roubo de identidade secundário foi relatado desde então. O problema aqui é que a Equifax não divulgou as informações sobre tudo o que foi relatado no início.

Como já mencionamos, inicialmente a Equifax disse que 143 milhões de pessoas foram afetadas pela violação, mas, eventualmente, em sua carta enviada ao Comitê Bancário do Senado, a empresa admitiu que dados de pelo menos 147,9 milhões de americanos foram afetados pela violação.

Embora o relatório sobre as imagens dos passaportes roubados dissesse que eles não foram roubados de novos indivíduos, isso ainda significava que o escopo do roubo de identidade em potencial era muito maior do que todos imaginavam. Os hackers puseram as mãos em uma grande variedade de informações pessoais identificáveis que podem ser usadas para falsificar contas e roubar toneladas de dinheiro.

O que as empresas devem aprender com a violação da Equifax

A Equifax não é a única empresa no mundo que pode ser alvo de criminosos especializados no roubo de identidade. Já mencionamos que a razão pela qual a empresa sofreu essa violação de dados foi um aplicativo de navegador vulnerável. Uma análise mais aprofundada da questão revelou que as empresas tendem a usar uma versão vulnerável do software que gerencia informações privadas e não atualizam esses aplicativos para versões seguras. Essa prática resulta em várias violações de dados que afetam não apenas usuários individuais, mas também empresas corporativas. Por exemplo, mais de 10.000 organizações também foram afetadas pela violação da Equifax.

O programa vulnerável em questão era o pacote de software de código aberto Apache Struts. A Equifax não é a única empresa que emprega esse programa. Existem outras organizações que também o utilizam e, assim, o risco de roubo de identidade só aumenta. A vulnerabilidade em questão força o programa a manipular incorretamente o upload de um arquivo e, em seguida, os hackers executam comandos arbitrários que iniciam o roubo. Existem seis versões corrigidas desse aplicativo, mas as empresas não instalam as correçōes porque a versão corrigida do software pode não ser compatível com o seu middleware de servidor ou seus sistemas operacionais. Em outras palavras, corrigir a vulnerabilidade pode ser muito incômodo para algumas empresas.

No entanto, a menos que as empresas façam algo a respeito, essas violações continuarão a ocorrer. Talvez as atualizações de segurança regulares sejam assustadoras para as empresas, mas são vitais porque as práticas cibernéticas ruins podem facilmente levar a vários problemas de segurança, incluindo o roubo de identidade.

O que os usuários individuais devem aprender com a violação da Equifax

Os meios de lidar com violações de dados para os usuários individuais são um pouco diferentes do que se espera que as empresas façam. Por exemplo, se você acredita que pode ter sofrido roubo de dados, dependendo do tipo de dados que foi roubado, pode optar por colocar um alerta inicial de fraude ou congelamento de crédito, o que impediria o uso indevido de informações pessoais. Você também deve rever o seu relatório de crédito procurando por qualquer sinal de roubo de identidade. Sem mencionar que também há serviços de monitoramento profissionais que podem ajudá-lo a descobrir se a segurança dos seus dados foi violada ou não. Finalmente, você deve sempre aprender mais sobre essas práticas ilegais e suas conseqüências.

Na verdade, cobrimos as principais conseqüências da violação de dados no nosso blog antes, mas, para recapitular, o impacto da violação depende do tipo de dados roubados. Por exemplo, as pessoas podem pensar que os dados inseridos durante a inscrição em qualquer site são inofensivos, mas esse, definitivamente, não é o caso. Cada pedaço de informação pode ser usado contra você se for vazado, então você precisa fazer tudo para evitar que isso aconteça. A maneira mais fácil de evitar a violação de dados é usar senhas diferentes para contas diferentes.

Em outras palavras, se você quiser proteger os seus dados, evite a reutilização de senhas, pois essa é a maneira mais fácil de se roubar identidade. Embora isso seja conveniente, é perigoso porque várias contas podem ser invadidas se estiverem protegidas pela mesma senha. Claro, é difícil se lembrar de senhas diferentes, especialmente se você tiver muitas contas diferentes. Algumas pessoas preferem manter uma lista, mas se quiser algo mais conveniente, você sempre pode usar um gerenciador de senhas como o Cyclonis. Os gerenciadores de senhas geram senhas fortes e exclusivas para cada conta, e isso diminui o risco em potencial do roubo de identidade. Assim, por favor considere todas as medidas que você pode tomar para proteger seus dados.

March 7, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.