Segurança de dados

Índice de empresas invadidas

A Sony sofreu pelo menos 21 invasões desde o ataque, ocorrido em abril, à rede Playstation Network, que habilita os jogos on-line do Playstation 3. Nesse primeiro ataque, 77 milhões de registros de usuários foram obtidos por hackers.

Um segundo ataque à Sony, que chegou ao conhecimento público em maio, resultou em mais 24 milhões de registros roubados. Segundo o DatalossDB, esses incidentes são, respectivamente, o 4° e o 9° maiores da história.

Desses dez maiores vazamentos de dados, apenas um ocorreu antes de 2005 – uma invasão relacionada ao processamento de cartões de crédito em 1984. Mas o DatalossDB não considera para essa lista os incidentes em que apenas nomes e e-mails foram perdidos. O vazamento de dados da empresa de marketing Epsilon, também ocorrido em 2011, é considerado o maior dessa categoria.

Em 2010, uma companhia de blogs, a Skyblog, foi invadida e 32 milhões de cadastros foram vazados. O site de empregos sofreu um ataque que resultou no vazamento de 1,27 milhão de registros, mais uma vez com nomes e e-mails.

No Brasil, existem ataques ao exército e à polícia que já mostraram que algumas informações dessas instituições, embora limitadas, podem ser obtidas sem autorização devido a falhas nas aplicações web. E-mails particulares da atual presidente Dilma Rousseff também teriam sido acessados por hackers em 2010.

Outros roubos de dados relevantes que caíram na rede são relativos ao censo do Reino Unido e às eleições australianas.

No entanto, pensar que apenas invasões são o problema seria incorreto. Novamente de acordo com os dados do DatalossDB, praticamente metade dos incidentes de vazamentos (49%) ocorre devido a roubo de computadores portáteis, perda de discos, documentos e mídias de backup. Pessoas ligadas à instituição são responsáveis por 37% dos incidentes, seja de forma maliciosa ou por descuidado durante as operações.

Uso dos dadosOs dados roubados podem ser usados por criminosos para realizar

ataques. Um simples conjunto de nomes, usuários e endereços de e-mail pode ser muito útil para isso: o criminoso pode enviar um e-mail

se passando pela empresa cujos dados foram obtidos, facilitando enganar internautas e convencê-los a executar arquivos maliciosos

que podem ser úteis para outras fraudes.

Já a utilidade de dados envolvendo autoridades, cartões de crédito e contas bancárias é mais óbvia: serve para fins diretamente políticos ou financeiros. O “hackativismo” (manifestações envolvendo ações contra

sistemas de computador) pode obter dados desse tipo para expor práticas das quais discordam – sejam elas justificadas ou não.