Mais de 220 milhões de usuários do Deezer têm dados vazados; saiba como proteger a sua empresa

Cerca de 220 milhões de dados de usuários do Deezer, serviço de streaming de áudio, foram vazados na internet. 

“Fomos informados de que um de nossos parceiros sofreu uma violação de dados em 2019 e uma imagem instantânea de algumas informações não confidenciais de nossos usuários foi exposta”, diz a empresa em comunicado.

Essas informações (data de nascimento, endereços de e-mail, entre outras) foram vazadas no final do ano passado. Segundo a empresa, o vazamento aconteceu por meio de um parceiro terceirizado – da qual não trabalha mais junto desde 2020.

“Os sistemas de segurança da Deezer permanecem eficazes e nossos próprios bancos de dados estão seguros”, afirma o Deezer.

No entanto, as tentativas de ataques hackers em sistemas de empresas têm se tornado cada vez mais comuns. No Brasil, cerca de 57% delas são alvos de fraudes e ataques digitais com frequência. É o que mostra a pesquisa “Barômetro da Segurança Digital”, realizada pela Mastercard em parceria com o Instituto de Pesquisa Datafolha. Apesar do alto percentual, apenas 32% das empresas entrevistadas possuem uma área própria de cibersegurança (entenda mais abaixo).

Os ataques — quando bem-sucedidos — causam rombo estrondoso no caixa da empresa. Um exemplo foi a Renner, que sofreu uma invasão de seu sistema em 2021 e, como resultado, deixou o site da empresa fora do ar por mais de um dia. Em comunicado oficial, a companhia afirma que nenhuma de suas 600 lojas tiveram o serviço interrompido, mas há relatos de clientes que encontraram instabilidade. A marca não deu detalhes sobre o ataque, mas afirmou que “usa tecnologias e padrões rígidos de segurança, e continuará aprimorando sua infraestrutura para incorporar cada vez mais protocolos de proteção de dados e sistemas.”

A Agência Nacional de Vigilância Sanitária (Anvisa) também foi alvo do crime. “Esclarecemos que o ataque foi do tipo defacement (modificação de estética da página web), não havendo, portanto, alteração de dados e impacto nos demais sistemas da Anvisa”, disse a Anvisa em nota.

Outro ataque recente de relevância aconteceu com a JBS, que teve alguns servidores nas unidades da Austrália, Canadá e Estados Unidos sequestrados. Por causa disso, as fábricas foram interrompidas temporariamente. O resultado? A companhia desembolsou cerca de US$ 11 milhões (pagos em bitcoin) pelo resgate. 

Em comunicado, a JBS afirma ter pago após consultar especialistas no assunto. "Foi uma decisão difícil de tomar para nossa empresa e para mim pessoalmente. [...] Mas sentimos que essa decisão deveria ser tomada para evitar qualquer risco potencial para nossos clientes”, disse André Nogueira, CEO da JBS USA.

Mas a lista é grande. No ano passado, por exemplo, hackers invadiram o sistema da Light, empresa de geração e distribuição de energia do Rio de Janeiro, e pediram US$ 7 milhões (em criptomoeda monero (XMR). Em 2016, hackers norte-coreanos planejaram um ataque de US$ 1 bilhão (mais de R$ 5 bilhões) ao banco nacional de Bangladesh.

Confira também:

• Cibersegurança: qual é o mínimo que sua empresa deve ter?
• Decifrando o ecossistema de crimes cibernéticos
• Proteção de identidades digitais: o novo "segredo do sucesso" de grandes negócios

Os cibercriminosos também estão de olho no chamado novo petróleo: os dados pessoais. Quando conseguem, são vendidos na deep e dark web. Um alvo recente segundo o The Wall Street Journal foi o site Taobao, do Alibaba, que teve 1 bilhão de dados de clientes roubados. 

O site de decoração Westwing informou em meados de abril de 2021 que identificou um ataque hacker em sua plataforma. Em comunicado, a empresa disse que acionou todos os protocolos de segurança. "A companhia está apurando a extensão dos efeitos do ataque cibernético em seus sistemas e bases de dados, de modo que até o presente momento, é possível afirmar que se trata de um ataque ransomware que tornou alguns de seus sistemas e arquivos indisponíveis, bem como que o agente criminoso teve acesso não autorizado a arquivos e a um dos servidores da companhia."

No Brasil, no início de 2020 aconteceu o mega vazamento de dados de 223 milhões de brasileiros. Não à toa que proteger os dados dos clientes se tornou lei no país, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/2018, em que diz que os setores público e privados são responsáveis pelo ciclo de um dado pessoal tanto para online, como para offline dos consumidores.

Além disso, os cibercriminosos também falsificam sites. E a tendência é aumentar os ataques, segundo Patrice Boffa, vice-presidente de Customer Sucess na Arkosa. “O uso da internet aumentou muito com a chegada da pandemia de coronavírus e isso se tornou uma oportunidade aos golpistas”, diz ele em palestra.

O QUE É ATAQUE CIBERNÉTICO?

“Ataque cibernético é a exploração deliberada de redes e sistemas de computadores usando softwares maliciosos (malware) para comprometer dados ou desativar operações. Ataques cibernéticos permitem cibercrimes, como o roubo de informação, fraudes e esquemas de ransomware”, diz a IBM.

TIPOS DE AMEAÇAS VIRTUAIS

Segundo a Kaspersky, empresa tecnológica especializada na produção de softwares de segurança para a internet, são três tipos: 

1 – O crime virtual inclui indivíduos ou grupos que visam sistemas para obter ganhos financeiros ou causar interrupções.
2 – O ataque cibernético muitas vezes envolve a coleta de informações com motivação política.
3 – O terrorismo cibernético tem como objetivo minar sistemas eletrônicos para causar pânico ou medo.

COMO OS CRIMINOSOS CONSEGUEM TER ACESSO

Por meio de software malicioso. “Uma das ameaças virtuais mais comuns, o malware é um software que um criminoso virtual ou hacker criou para prejudicar ou danificar o computador de um usuário legítimo. Muitas vezes enviado através de um anexo de e-mail não solicitado ou download de aparência legítima”, diz a Kaspersky.

+ Aula gratuita: Decifrando o ecossistema de crimes cibernéticos

O QUE É CIBERSEGURANÇA

“A cibersegurança é o termo que utilizamos para denominar os procedimentos e práticas que têm como propósito a segurança no ambiente digital. A partir da sua implementação na companhia, seu objetivo é proteger computadores, servidores, dispositivos móveis, sistemas eletrônicos, redes e ecossistemas contra tentativas de ataques ou fraudes”, diz Estanislau Bassols, gerente geral da Mastercard Brasil em entrevista à StartSe.

POR QUE É IMPORTANTE PARA AS EMPRESAS

Bassols diz que em um mundo conectado como o que vivemos hoje, novos esquemas de fraudes são criados diariamente. “Eles [os cibercriminosos] buscam pontos fracos nessa cadeia de transmissão de dados, por isso é essencial que as organizações atuem de forma a mitigar riscos e ampliar a segurança de seus ecossistemas.” 

“Ataques cibernéticos geram grandes despesas para toda a indústria: de acordo com o estudo 2019 Cost of a Data Breach Study, da Ponemon Institute, o custo médio de uma violação de dados para empresas é de US$ 3,9 milhões. Por isso, implementar modelos de segurança digital só tem a contribuir com o fortalecimento do modelo de negócios como um todo, agregando valor para todas as companhias do mercado e fortalecendo a confiança dos consumidores/clientes.”

OS PRINCIPAIS ATAQUES CIBERNÉTICOS

Segundo o Índice de Inteligência de Ameaças X-Force 2021, realizado pela IBM Security, os ataques cibernéticos evoluíram em 2020. Os principais alvos são organizações vitais para os esforços em combate à Covid-19, como indústrias de produtos farmacêuticos e médicos, hospitais e empresas de energia. Mas não apenas. Veja alguns dos crimes cibernéticos mais comuns listados pela empresa com base no monitoramento de mais de 150 bilhões de eventos de segurança por dia em mais de 130 países:

• Malware Linux: “Os invasores estão acelerando a migração para o malware Linux, que pode ser executado mais facilmente em várias plataformas, incluindo ambientes de nuvem”, afirma a IBM.
   
• Falsificação de marcas: “Em um ano de distanciamento social e trabalho remoto, marcas que oferecem ferramentas de colaboração, como Google, Dropbox e Microsoft, ou marcas de compras online como Amazon e PayPal, ficaram entre as 10 principais marcas falsificadas em 2020. YouTube e Facebook, as fontes mais utilizadas pelos consumidores para acompanhar notícias no ano passado, também estão no topo da lista. Surpreendentemente, a Adidas fez sua estreia como a sétima marca mais imitada em 2020.”
   
• Grupos de ransomware se aproveitaram de um modelo de negócios lucrativo: “O ransomware [tipo de malware que restringe o acesso ao sistema infectado e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido. similar ao que aconteceu com a JBS] foi a causa de quase um em cada quatro ataques respondidos pelo X-Force em 2020, com uma evolução agressiva para incluir táticas de extorsão dupla. Usando esse modelo, o X-Force avalia que Sodinokibi, o grupo de ransomware mais observado em 2020, teve um ano muito lucrativo. O X-Force estima que o grupo ganhou, usando uma estimativa conservadora, mais de US$ 123 milhões no ano passado, e cerca de dois terços de suas vítimas pagaram um resgate, de acordo com o relatório.”

COMO PROTEGER A SUA EMPRESA

As primeiras dicas, segundo a Kaspersky, são: 

• Atualizar o software e sistema operacional.
• Ter antivírus.
• Usar senhas fortes.
• Não abrir anexos remetentes desconhecidos.
• Não clicar em links de e-mails de remetentes ou site desconhecidos.
• Evitar usar rede Wi-Fi não segura em locais públicos.

Mas as proteções vão além. “Hoje, uma das formas que as empresas podem utilizar para se proteger de ciberataques é realizando periodicamente avaliações automatizadas de vulnerabilidade de riscos cibernéticos. A análise automática abrange todo o ecossistema da empresa – o que inclui fornecedores e prestadores de serviço, e oferece planos de ação ajustados de acordo com as prioridades de risco”, afirma Bassols. 

Além disso, o especialista aconselha usar a tecnologia de biometria passiva comportamental. “Esse tipo de solução identifica aspectos como a posição do celular ou a velocidade de digitação no teclado para confirmar a identidade de uma pessoa. Dessa forma, o fraudador é barrado antes mesmo de iniciar sua ação no mundo digital.”

Quer saber como está o nível de cibersegurança da sua empresa? Faça o teste aqui e descubra!

…