Dia Internacional da Proteção de Dados

Todos os anos falamos sobre privacidade de Dados, porém seguimos vendo os números aumentarem em termos de ataques e vazamentos. O direito à privacidade de Dados é de todos e, no Brasil, temos a Lei Geral de Proteção de Dados (LGPD) avançando para uma internet mais segura, entretanto precisamos aumentar nosso papel como agentes de defesa e conscientizar a população sobre o assunto e fazer nossa parte do ponto de vista pessoal.

Para visualizar o cenário atual, foi divulgado nesta semana, 23 de janeiro, que mais de 26 bilhões de registros pessoais foram expostos, no que as autoridades acreditam ser o maior vazamento já registrado na história. Os agentes de ameaça, impulsionados pelos lucros das vendas de Dados valiosos, estão cada vez mais sem medo de serem capturados ou punidos.

De posse desses Dados, atacantes podem até mesmo criar um grande banco de informações que será utilizado como referência para um incontável número de ataques. E em termos de Brasil, não estamos falando de um volume pequeno, segundo pesquisas da Tenable, foram mais de 112 terabytes (TB) de Dados expostos em 2022, correspondendo a quase a metade do volume total mundial.

Para exemplificar as técnicas utilizadas por criminosos de posse destas informações, podemos mencionar o ataque conhecido como “credential stuffing”, quando a combinação de identidade e palavra- passe de um serviço pode ser utilizada para violar outro. Ao combinar informações de alto nível de diferentes fontes para traçar o perfil completo de um indivíduo – como senhas, PINs, números de CPF e até mesmo informações ainda mais pessoais, como nome de filhos, animais de estimação. endereço e outros – golpistas podem ter informações suficientes para responder a perguntas de segurança usadas para proteger e/ou acessar até mesmo contas bancárias. Quanto mais informações estiverem disponíveis para os hackers, maior será o risco.

Por outro lado, sabemos que a metodologia de ataque dos agentes de ameaças raramente é avançada ou requer elevado nível técnico, mas é sim oportunista. Uma equipe de agentes mal-intencionados busca muitas maneiras e múltiplos caminhos através dos ambientes para causar danos e monetizar seus esforços. Ainda, a adoção generalizada da computação em Nuvem, tanto no nível pessoal quanto corporativo, introduz novos níveis de vulnerabilidade e complexidade de gerenciamento que podem ser alvo de criminosos.

Precisamos repensar nossa exposição de ativos digitais voltados para internet. Na maioria dos casos, um ataque se origina da falta de configuração correta de serviços na Nuvem, senhas fracas e de vulnerabilidades conhecidas, porém não corrigidas, que permitem aos agentes da ameaça um ponto de entrada para a infraestrutura da organização. Tendo obtido entrada, os agentes de ameaças procurarão explorar configurações incorretas no Active Directory para obter privilégios e se infiltrar ainda mais na organização para roubar Dados, criptografar sistemas em ataques ransomware ou causar outros danos que impactem os negócios ou a vida pessoal de um indivíduo. Temos que trabalhar de forma mais inteligente para identificar e fechar esses caminhos de ataque ou enfrentaremos o mesmo dilema no próximo Dia da Privacidade de Dados.

No ponto de vista das pessoas, devemos nos perguntar quais dados e onde estamos compartilhando nossas informações. Podemos começar pelo básico, prestando atenção nos indicadores de confiabilidade dos sites e em aceitar ou não os cookies. No caso de compras, use ferramentas disponíveis como Site Confiável ou Reclame Aqui, bem como o selo Confi, que fica localizado no rodapé das páginas de compras e que pode ser consultado – fique atento antes de realizar uma compra ou inserir dados pessoais no e-commerce, mesmo que as ofertas pareçam tentadoras.

Nas redes sociais, participar de questionários que oferecem prêmios ou utilizar um simples app de modificação de imagens, pode ser tentador ou “trending”, porém pode fornecer informações para que atacantes lancem um ataque de engenharia social. Vemos todos os dias ataques de preenchimento de credenciais aumentando, portanto, ter a mesma senha para todas as identidades online é algo perigoso. Em outra linha de ataque, alavancando o Deep Fake, criminosos estão utilizando figuras públicas para atrair vítimas com vídeos falsos extremamente convincentes. Pense nas redes como o mundo real: você entraria em um lugar estranho e entregaria seus documentos para um desconhecido na rua apenas para participar de um sorteio de smartphone?

As organizações e governos têm a obrigação de proteger as informações que os consumidores lhes confiam. No entanto, todos nós desempenhamos um papel na proteção de nossas informações confidenciais.