outubro 02, 2014

[Segurança] Roubo de dados assusta as empresas americanas

O grande roubo de dados da Target, no final do ano passado, foi só a ponta do Iceberg. Se em Janeiro deste ano já se previa que diversos grandes lojas de varejo americanas estavam sendo atacadas, o que vimos nos últimos meses foi apenas a confirmação destes rumores, com os ataques a terminais de pontos de venda (PoS) atingindo empresas de todos os portes nos EUA.



Diversas empresas americanas já divulgaram que foram invadidas, e a última grande notícia veio da Home Depot, gigante americana no comércio de material para construção, que teve 56 milhões de dados de cartões roubados.

Outras vítimas anunciadas no decorrer deste ano incluem o eBay (145 milhões de usuários afetados), a cadeia de restaurantes PF Chang's, a cadeia de lojas Neiman Marcus (350 mil dados de cartões roubados), a rede americana de supermercados Supervalu, a Sally Beauty (loja de cosméticos da qual roubaram dados de 25 mil clientes), Goodwill (que teve 868 mil cartões roubados durante 18 meses, através da invasão da empresa que fornecia o software de PoS hospedado na nuvem), a rede de hotéis Bartell Hotels (entre 44 mil e 53 mil clientes afetados), o site de venda online de lingeries Yandy.com (45 mil clientes afetados) e a UPS (foram roubados os dados de cartões de 105 mil clientes entre Janeiro e Agosto deste ano). Até mesmo um pequeno restaurante em Nova Orleans, chamado Mizado Cocina, foi atacado por um malware de PoS. E, recentemente, uma cadeia americana de restaurantes chamada Jimmy John's e uma loja de roupas do Texas, chamada Sheplers, também divulgaram que tiveram dados de cartões roubados.

Para piorar, a empresa que vendeu o sistema de PoS para a tal rede de restaurantes Jimmy John (chamada Signature Systems) anunciou que outros 108 restaurantes americanos também foram invadidos. Segundo a empresa, os ciber criminosos descobriram o username e senha utilizados para acessar remotamente os terminais de PoS. E aí eles fizeram a festa, usando este acesso para instalar o malware nestes clientes.

Parece muita coisa? Segundo estimativas do serviço secreto americano, mais de 1000 empresas foram atacadas pelo Backoff, um dos malwares especializados em atacar sistemas de PoS.

Isso tudo diz respeito a roubo de dados de lojas de varejo e restaurantes - eu nem estou discutindo aqui os casos recentes de roubo de 5 milhões de senhas no Google e da invasão do banco americano JPMorgan Chase.

Em comum, estes incidentes mostram duas novas tendências do ciber crime: o uso de malwares especializados em roubar dados de terminais de venda e o roubo de grande quantidade de dados de sites e empresas do setor lojista. Invadir bancos e grandes empresas de telecom não é tão fácil, mas as empresas do setor de varejo tradicionalmente costumam ter baixo investimento em TI e em segurança. Empresas de diversos tamanhos podem ser afetadas, não apenas os grandes lojistas.

Com isso, a quantidade de dados roubados em todo o mundo sobe assustadoramente a cada dia e os ciber ataques já representam a principal causa dos roubos de dados (veja gráfico abaixo).


Nessas horas, uma das principais táticas dos ciber criminosos consiste em utilizar malwares especializados em roubar dados de terminais de cartão de crédito (ou PoS, sigla em inglês para "Point of Sale", ou ponto de venda). Além do BlackPOS, que atacou a Target, alguns ataques recentes utilizaram o malware batizado de Blackoff (veja relatório do CERT.US). Tais códigos maliciosos podem ser utilizados, por exemplo, para infectar os computadores dos caixas das lojas, aonde estão conectados os dispositivos de leitura de cartão de crédito. Assim, quando o cliente faz uma compra e resolve pagar com cartão de crédito ou de débito, o malware identifica o processamento desta transação e rouba os dados de cartão, que estão na memória do computador infectado.

Uma das consequências deste cenário desesperador é o surgimento de leis específicas para proteção de dados em todo o mundo e que imponham a responsabilidade das empresas de notificar os clientes afetados. Outra consequência, interessante, é uma crescente "fadiga" e sentimento de impotência entre os profissionais de segurança.

Nota (25/11): O serviço postal americano (U.S. Postal Service) também sofreu um roubo de dados afetando 800 mil empregados e 2.9 milhões de clientes.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.