15 principais vazamentos de dados do século XXI

Recentemente a revista Computer World publicou uma matéria com o top 15 dos maiores vazamentos de dados do nosso século e hoje vamos trazer para nossos leitores um breve resumo desse compilado de informações. Saiba que apenas dois dos incidentes desse ranking juntos somam 3,5 bilhões de usuários que tiveram seus dados pessoais roubados, já a menor violação da lista englobou 134 milhões de usuários.

Caso Sina Weibo

Este é o caso mais recente, ocorrido em março de 2020 e afetando 538 milhões de contas. O Sina Weibo é uma versão chinesa do Twitter e teve dados pessoais de seus usuários colocados à venda na dark web. Estavam sendo comercializados dados como nome verdadeiro, nome de usuário na plataforma, localização e sexo, e para 172 milhões de usuários, os números de telefone também estavam na lista.

Caso Zynga

Em 2019, a Zynga foi alvo de um ataque hacker. O banco de dados de jogadores do Draw Something and Words with Friends foi invadido e os hackers tiveram acesso a 218 milhões de contas.

A empresa confirmou o ocorrido, informando que dados como endereços de e-mail, números de telefone e identificação de usuários em contas da Zynga e do Facebook foram acessadas pelos cibercriminosos.

Caso Canva

Cerca de 137 milhões de usuários da plataforma Canva foram afetados em 2019 devido a um ataque hacker que expôs endereços de e-mail, nomes de usuários, nomes verdadeiros e residência dessas pessoas.

O Canva informou que os hackers visualizaram as informações, mas não roubaram dados de cartão de crédito e pagamentos. A empresa notificou seus usuários afetados, solicitando a troca de suas senhas e redefinição dos tokens do OAuth. Porém, posteriormente informou que existia uma lista com cerca de 4 milhões de senhas roubadas que havia sido descriptografada e compartilhada online, o que levou o Canva a invalidar essas senhas e notificar seus usuários.

Caso Dubsmash

Cerca de 162 milhões de usuários do serviço nova-iorquino de mensagens de vídeo Dubsmash tiveram seus nomes de usuários, endereços de e-mails e demais dados pessoais roubados em 2018. Esses dados foram colocados à venda em um mercado da dark web chamado Dream Market.

A empresa confirmou o incidente, mas não soube informar como ocorreu a invasão, orientando seus usuários a realizarem a alteração de senha.

Caso My Fitness Pal

O aplicativo fitness pertencente à Under Armour, assim como o Dubsmash, estava no compilado de 16 sites que tiveram cerca de 617 milhões de contas vendidas no Dream Market.

Cerca de 150 milhões de clientes do aplicativo tiveram seus dados pessoais roubados. O My Fitness Pal não soube informar como os hackers conseguiram o acesso às contas, mas confirmou o vazamento.

Caso Marriott International

Em 2018 a empresa divulgou que aproximadamente 500 milhões de clientes tiveram seus dados pessoais roubados. Inicialmente o incidente ocorreu a partir de 2014 com os sistemas das marcas de hotéis Starwood. Os hackers continuaram no sistema após a Marriot adquirir a Starwood em 2016 e só foram descobertos em 2018.

Dados como número do passaporte, informações de viagens e dados pessoais, além de números de cartão de crédito e datas de vencimento de mais de 100 milhões de clientes foram roubadas.

Caso Equifax

Uma das maiores agências de crédito dos EUA, a Equifax, informou em 2017 que uma falha de aplicativo em um de seus sites proporcionou a exposição de dados de cerca de 147,9 milhões de usuários.

Informações pessoais como o número do seguro social, data de nascimento e endereço foram expostas devido ao incidente.

Caso Adult Friend Finder

Uma violação parcialmente sensível ocorreu em 2016 envolvendo a rede Friend Finder e seus sites como o Adult Friend Finder e Stripshow.com. Os cibercriminosos roubaram 20 anos de informações de seis bancos de dados, senhas, endereços de e-mail e nomes foram alguns dos dados expostos.

Caso LinkedIn

Em 2012 o LinkedIn informou que 6,5 milhões de senhas haviam sido roubadas e estavam expostas em um fórum de hackers russos. Somente em 2016 a gravidade do ocorrido foi revelada, informando que os hackers estavam vendendo endereços de e-mail e senhas de cerca de 165 milhões de usuários por 5 bitcoins.

 O LinkedIn confirmou a invasão e afirmou ter redefinido as senhas das contas atingidas.

Caso NetEase

Endereços de e-mail e senhas em texto sem formatação de 235 milhões de contas do provedor de serviços de e-mail NetEase estavam sendo vendidos na dark web por hackers em 2015.

Esse mesmo cibercriminoso estava vendendo dados de outras grandes players chinesas, como Sina Corporation e QQ.com da Tencent. A NetEase por sua vez negou qualquer tipo de violação em seu banco de dados.

Caso eBay

Em 2014 o eBay sofreu um ataque que expôs dados de 145 milhões de usuários, como nomes, endereços, datas de nascimento e senhas criptografadas. A empresa informou que os hackers usaram credenciais de três colaboradores corporativos para ter acesso a rede por 229 dias.

Segundo o eBay, informações financeiras eram armazenadas separadamente e não foram afetadas, os clientes foram orientados a mudar suas senhas.

Caso Yahoo

No ano de 2014 o Yahoo sofreu um ataque que comprometeu nomes, endereços de e-mail, datas de nascimento e números de telefone de 500 milhões de usuários. Tal ataque foi divulgado apenas em 2016, mesmo ano em que a empresa também confessou que a partir de 2013 outro hacker havia invadido seu banco e os dados pessoais de 1 bilhão de contas de usuários estavam comprometidos.

Já em 2017 o Yahoo atualizou essa estimativa e incluiu todas as suas 3 bilhões de contas.

Caso Adobe

O blogueiro de segurança, Brian Krebs, relatou em 2013 que hackers haviam roubado quase 3 milhões de dados de login de indeterminadas contas de usuários da Adobe.

Na ocasião a empresa elevou a estimativa, incluindo IDs e senhas criptografadas, aumentando o número para 30 milhões de usuários ativos expostos.  O blogueiro informou que um arquivo publicado anteriormente “parecia incluir mais de 150 milhões de nomes de usuário e pares de senhas extraídos da Adobe”. Após semanas de pesquisa foi descoberto que nomes de clientes e informações de cartões de crédito também haviam sido expostas.

Caso MySpace

Dados pessoais como nome de usuário, endereços de e-mail e senhas de cerca de 360 milhões de usuários que criaram suas contas antes de 11 de junho de 2013 na plataforma foram expostos.

O incidente veio à tona somente em 2016 quando esses dados foram vazados para o LeakedSource, um banco de dados de contas roubadas, e estava à venda na dark web.

Sistemas de Pagamento Heartland

Em 2008 a Heartland trabalhava com 100 milhões de transações com cartão de pagamento por mês para 175 mil comerciantes, entre pequenos e médios varejistas. Visa e Mastercard notificaram a empresa no início de 2009 a respeito de transações suspeitas das contas processadas.

O PCI (Payment Card Industry) achou a Heartland fora de conformidade com o DSS (Data Security Standart) e proibiu os pagamentos dos principais cartões de crédito por alguns meses. Além disso, a empresa precisou pagar 145 milhões de dólares devido aos pagamentos fraudulentos.

Em tempos de aproximação da entrada em vigor da LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil, vale a pena relembrar esses casos e suas proporções.

Todas as empresas que trabalham com algum tipo de dado pessoal precisam estar em compliance. Dependendo da quantidade e complexidade desses dados, o processo pode ser longo e o adequado é procurar a conformidade o quanto antes.

A DeServ trabalha com consultoria especializada e consolidada no assunto, ajudando diversas empresas a entrar em compliance com a LGPD, evitando sanções que variam de 2% do faturamento anual a 50 milhões de reais. Entre em contato com nossa equipe e tire suas dúvidas.

Telefone: (51) 4063.6218⠀⠀⠀⠀⠀⠀⠀
WhatsApp: (51) 98043.9240⠀⠀⠀⠀⠀⠀⠀
Site: www.deserv.com.br⠀⠀

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *