Recordamos aqui quais foram os dez incidentes de segurança que expuseram maior quantidade de informação pessoal de utilizadores e clientes em 2018.
2018 vai ficar na história como um ano em que a proteção de dados e a privacidade tomou um rumo diferente e histórico com a entrada em vigor, em maio, do Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Este facto parece ter sido o ponto de partida para que legislações similares de GDPR se terem começado a replicar em distintas partes do mundo; como é o caso do Brasil com o LPGD, o estado da Califórnia com o CCPA, a China com a sua recente lei de proteção de dados, e outros países como o Japão, com a sua intenção de conseguir um acordo de adequação recíproca com a União Europeia para a proteção de dados.
Perante isto tendemos a pensar de forma otimista, mas lamentavelmente 2018 não foi exceção em relação a outros anos no que respeita a casos de falha de segurança e exposição de dados de utilizador. De facto, em 2018 registaram-se vários casos; alguns trataram-se de falhas provocadas por ataques criminosos, enquanto que outros se trataram de exposição de dados mesmo que sem indícios de que alguém se tenha aproveitado dessa exposição ou falha de segurança. O mais relevante de 2018 foi o incidente que sofreu a cadeia hoteleira Marriot International, que já se converteu na falha de segurança mais importante da história. De seguida relembramos alguns dos que consideramos que foram os mais importantes 2018.
1. Facebook e Cambridge Analytica
O Facebook protagonizou um dos incidentes mais importantes de 2018 quando em fevereiro se tornou público que a empresa cedeu dados pessoais de mais de 90 milhões de utilizadores a uma consultora política, e que essa informação tinha sido utilizada na última campanha eleitoral nos Estados Unidos.
Este incidente não se tratou de um roubo de informação, mas sim de uma recolha de dados dos utilizadores através de uma aplicação que oferecia um teste de personalidade, a “This is your Digital Life”, que foi instalada de forma voluntária por centenas de milhar de utilizadores, sendo que os mesmos aceitaramque a mesma tivesse acesso à sua informação de perfil, atividade e mesmo aos seus contactos.
O grave desta situação é que esses dados, recolhidos de acordo com os termos e condições especificados pelo Facebook para apps de terceiros, foram vendidos à consultora Cambridge Analytica.
Este caso foi, por várias vezes, manchete nos meios de comunicação e fez com que o responsável pelo Facebook fosse ouvido em pleno congresso dos Estados Unidos.
2. A exposição de dados do Google+
A Google, outro dos gigantes tecnológicos, expôs dados de perfil dos seus utilizadores em dois incidentes diferentes e em ambos os casos envolveram a rede social Google+. O primeiro ocorreu em março (apesar de só ter sido divulgado em outubro), quando um bug permitia a programadores de aplicações de terceiros aceder a dados privados de perfis dos utilizadores no Google+ armazenados desde 2015 e expôs essas mesmas informações mais de 500 mil utilizadores.
Mas não se ficou por aqui, no início de dezembro último, a empresa revelou outra falha provocada por uma atualização defeituosa que implicava a API do Google+, denominada de “People:get”, concebida para permitir que programadores solicitassem informação básica associada à conta do utilizador, e que durante seis expôs informação pessoal de mais de 52,5 milhões de utilizadores de todo o mundo, tais como o nome, endereço de e-mail, género, idade, ocupação, entre outros dados. O bug foi descoberto por engenheiros do Google na realização de testes de rotina.
Desde o primeiro incidente que a Google anunciava o encerramento daquela rede social para agosto de 2019. Todavia, após a segunda falha, a empresa anunciou o encerramento do Google+ para abril de 2019.
3. Falha de segurança que envolveu os clientes da cadeia Marriot International
Independentemente do que aconteceu com o Facebook e com a Google, a realidade é que 2018 ficou marcado por grandes falhas de segurança e esta converteu-se na segunda maior da história logo a seguir à que aconteceu com o Yahoo em 2013, que afetou cerca de 500 milhões de utilizadores. Referimo-nos à falha de segurança que sofreu a cadeia hoteleira Starwood, propriedade do Marriot International, que no final de novembro veio a público que foi roubada informação pessoal de aproximadamente 500 milhões de hóspedes e clientes. Entre os dados roubados estavam nomes, datas de nascimento, e-mails, números de telefone, passaportes e cartões de crédito.
4. Quora expôs informação pessoal de 100 milhões de utilizadores
Tal como referimos, foram vários os casos relevantes, como o incidente que sofreu a Quora. A popular plataforma de perguntas e respostas comprometeu informação pessoal de 100 milhões de pessoas quando detetou o acesso não autorizado de terceiros mal-intencionados. Entre a informação exposta estavam: nomes, endereços de e-mail, endereços de IP, ID de utilizadores passwords encriptadas, dados de configuração de contas, outras.
5. Número de CPF de milhões de brasileiros ficaram expostos durante vários meses
Em março deste ano, investigadores descobriram um servidor web Apache mal configurado que continha arquivos com o número de identificação fiscal (no Brasil denominado por CPF) de 120 milhões de cidadãos brasileiros, que estavam expostos e com livre acesso a qualquer pessoa.
Segundo Daniel Cunha Barbosa, investigador da ESET, com o número de CPF um hacker pode gerar fraudes em nome de terceiros e, com informação adicional pode inclusive realizar compras em nome de alguma das vítimas e até solicitar empréstimos bancários.
6. Dados de 150 milhões de contas expostas pelo MyFitnessPal
O MyFitnessPal é um website e uma aplicação para fazer o registo e controle do exercício físico e regime alimentar dos seus utilizadores que foi comprado pela Under Armour. Em março deste ano a empresa revelou que as contas de 150 milhões de utilizadores estiveram expostas. Nomes, endereços de e-mail e passwords estiveram estiveram completamente acessíveis.
7. Dados de 92 milhões de utilizadores expostos no site MyHeritage
Em junho de 2018, a plataforma para criar árvores genealógicas que armazena milhões de registos históricos globais, para além da informação dos seus utilizadores, revelouque expôs dados de mais de 92 milhões de utilizadores que se registaram no MyHeritage depois de 26 de outubro de 2017, e que estavam armazenados num servidor fora da empresa.Os dados expostos incluíam nome, endereços de e-mail e passwords.
8. 340 milhões de dados da empresa Exactis
Outro dos casos mais importantes de 2018 afetou principalmente os Estados Unidos. Trata-se do incidente que sofreu a empresa Exactis (empresa que se dedica à venda de datos), quando em meados do ano se soube que expôs 340 milhões de registosatravés de uma base de dados que estava num servidor com acesso público e ao alcance de qualquer um que pretendesse aceder à mesmas. A informação filtrada não era somente de indivíduos, mas também de empresas, e incluíam números de telefone, moradas, endereços de e-mail, entre outros.
9. British Airways sofreu roubo de dados de 380 mil cartões de pagamento de clientes
A companhia aérea britânica foi vítima do roubo de dados de 380 mil cartões de pagamento de clientesque realizaram reservas através do seu website, ou através da app. Entre os dados comprometidos figuram nomes de clientes, endereços de e-mail, moradas e detalhes de cartões de pagamento utilizados.
10. Subsidiária da Expedia comprometeu dados de cartões de pagamento de 880 mil clientes
A agregadora de websites de viagens Orbiz, subsidiária do Grupo Expedia, sofreu de uma falha de segurança devido à qual atacantes tiveram acesso a informação pessoal de vários clientes, entre os quais dados de 880 mil cartões de pagamento.
Outras empresas como a Dell, a operadora de telecomunicações T-Mobile, as apps myPersonality, Timehop e Careem, a loja online SHEIN, as linhas aéreas Cathay Pacific, a plataforma para venda de bilhetes de viagem Ticketfly, ou a Chegg, que oferece serviços para a comunidade educativa nos Estados Unidos, são algumas das empresas que este ano sofreram algum tipo de incidente relacionado com segurança informática, que deixaram expostos dados pessoais dos utilizadores.
[…] de um 2018 muito agitado em relação aos casos de lacunas e exposição de dados, no primeiro mês de 2019 já se registaram novos casos importantes, como aconteceu na semana […]