A cada ano, milhares de organizações são vítimas de ataques cibernéticos que comprometem informações sensíveis, interrompem operações e prejudicam a confiança dos usuários e clientes.
window._taboola = window._taboola || [];
_taboola.push({
mode: ‘organic-thumbs-feed-01-stream’,
container: ‘taboola-mid-article-saiba-mais’,
placement: ‘Mid Article Saiba Mais’,
target_type: ‘mix’
});
Seja por infraestrutura desatualizada, erro humano ou ataques direcionados, as consequências de um vazamento podem ser devastadoras para a empresa e para os usuários. Por trás de cada registro de roubou ou sistemas comprometidos, há milhões de indivíduos que têm suas vidas privadas expostas.
De acordo com o site Quartz, a empresa de nuvem Zmanda reuniu os 10 vazamentos de dados mais caros de todos os tempos, classificados pelo dano financeiro total. Confira:
1. Malware NotPetya (2017)
Custo total: US$ 10 bilhões
O NotPetya surgiu em junho de 2017, funcionando como um ataque de destruição de dados. Espalhou-se por meio de uma atualização maliciosa do M.E.Doc, software fiscal amplamente usado na Ucrânia. O malware explorou o EternalBlue (ferramenta vazada da NSA) para execução remota via Windows SMBv1 e o Mimikatz, que extrai credenciais da memória do sistema.
A Maersk, empresa de logística, teve que reconstruir 4.000 servidores e 45.000 PCs em todo o mundo em poucos dias após ter sua rede apagada. A maioria dos casos ocorreu na Ucrânia, paralisando bancos, transporte e o sistema de monitoramento de Chernobyl. Estados Unidos e Reino Unido atribuíram o ataque à agência de inteligência militar GRU da Rússia.
2. TJX Companies (2007)
Custo total: US$ 4,5 bilhões
Em 2007, hackers invadiram os sistemas da TJX explorando a criptografia fraca em uma rede sem fio em uma loja Marshalls, na Flórida. Foram roubados 45,6 milhões de números de cartões de crédito e débito ao longo de 18 meses, sendo o maior vazamento no varejo na época.
Os hackers instalaram sniffers (software) para interceptar dados de transações não criptografadas e credenciais de login. Posteriormente, descobriu-se que a TJX havia retido dados proibidos da faixa 2 dos cartões e violado diversos controles, levando a reformas no setor de segurança de dados no varejo.
3. Epsilon (2011)
Custo total: US$ 4 bilhões
Em março de 2011, a Epsilon, uma das maiores empresas de marketing por e-mail do mundo, sofreu um vazamento após invasores obterem acesso não autorizado ao seu sistema de e-mail. Hackers roubaram nomes e e-mails de clientes como JPMorgan Chase, Best Buy e Walgreens, afetando cerca de 60 milhões de usuários. Embora dados financeiros não tenham sido expostos, as informações roubadas alimentaram campanhas de phishing em larga escala.
4. Equifax (2017)
Custo total: Pelo menos US$ 1,4 bilhão
Atacantes exploraram a CVE-2017-5638, vulnerabilidade conhecida no Apache Struts, que a Equifax, empresa de informações de crédito, não corrigiu por mais de dois meses após o lançamento da atualização. Isso permitiu o acesso não autorizado a dados de 147 milhões de americanos, incluindo nomes, datas de nascimento, números de seguridade social e dados de carteira de motorista.
O vazamento ficou sem detecção por 76 dias devido a um certificado SSL expirado, que desativou o monitoramento de tráfego interno. Depois, investigadores descobriram que a Equifax não tinha inventário adequado de ativos nem gestão de atualizações, o que contribuiu para a escala do comprometimento.
5. Meta (2018)
Custo total: US$ 725 milhões
Em 2018, revelou-se que a Cambridge Analytica havia coletado dados de cerca de 87 milhões de usuários do Facebook por meio de um quiz chamado This Is Your Digital Life (Essa é sua vida digital), que coletava dados dos usuários e de seus amigos devido às permissões da API do Facebook. Esses dados foram usados para criar perfis para publicidade política direcionada, incluindo nas eleições presidenciais dos EUA em 2016. O Facebook restringiu o acesso de terceiros e reformulou sua infraestrutura de privacidade após o caso.
6. Departamento de Assuntos de Veteranos dos EUA (2006)
Custo total: US$ 500 milhões
Em maio de 2006, um analista de dados do Departamento de Assuntos de Veteranos dos EUA (VA) levou para casa um laptop e um HD externo contendo dados não criptografados de 26,5 milhões de veteranos, incluindo nomes, datas de nascimento, números de seguridade social e classificações de deficiência. Os dispositivos foram roubados durante um assalto, e o VA demorou 19 dias para notificar os afetados. O vazamento expôs falhas graves de segurança interna, levando a audiências no Congresso e a uma política governamental de criptografia e notificações obrigatórias. Os equipamentos foram recuperados, e a perícia não encontrou evidências de acesso aos dados.
7. Target (2013)
Custo total: US$ 292 milhões
No final de 2013, atacantes invadiram a rede do supermercado Target usando credenciais roubadas de um fornecedor de HVAC, a Fazio Mechanical Services. Eles instalaram malware nos sistemas de ponto de venda, capturando 40 milhões de registros de cartões de pagamento e 70 milhões de perfis de clientes durante a temporada de festas. O malware coletava dados da memória do sistema durante transações. O vazamento levou a reformas na gestão de riscos de terceiros e acelerou a adoção de cartões chip e PIN nos EUA.
8. Hannaford Bros. (2008)
Custo total: US$ 252 milhões
Entre dezembro de 2007 e março de 2008, malware instalado em servidores de quase 300 lojas da Hannaford Bros interceptou dados de cartões de crédito e débito durante o checkout, expondo 4,2 milhões de números de cartões. O software malicioso capturava dados em trânsito durante a autorização do pagamento, sendo um dos primeiros grandes vazamentos de dados de transações ao vivo. Pelo menos 1.800 casos de fraude foram ligados ao vazamento.
9. Sony PlayStation Network (2011)
Custo total: US$ 171 milhões
A PlayStation Network da Sony sofreu um vazamento que expôs dados pessoais de 77 milhões de contas de usuários, incluindo nomes, e-mails, datas de nascimento e credenciais de login. A Sony afirmou que os dados de cartão de crédito estavam criptografados, mas não pôde descartar a possibilidade de roubo. A interrupção começou em 20 de abril de 2011 e durou 23 dias, tornando-se uma das mais longas da história dos games. A Sony foi criticada pela demora em notificar os usuários e ofereceu jogos grátis e proteção contra roubo de identidade posteriormente.
10. Yahoo! (2014)
Custo total: US$ 152,5 milhões
No final de 2014, o Yahoo sofreu um vazamento que expôs dados pessoais de 500 milhões de contas, incluindo nomes, e-mails, datas de nascimento, números de telefone e senhas criptografadas. O Yahoo atribuiu o ataque a um agente estatal, embora não tenha sido confirmado. O vazamento só foi divulgado em setembro de 2016, gerando críticas pela demora na resposta. Embora a maioria das senhas estivesse criptografada com bcrypt, algumas contas incluíam perguntas e respostas de segurança não criptografadas. O incidente impactou a aquisição do Yahoo pela Verizon e levou a escrutínios regulatórios e múltiplos processos judiciais.
–borderColorFollowMe: #4a4a4a;
–textColorFollowMe: #005880;
}
