Data

Machine Translated by Google
Acompanhe os dados:
Dissecando violações de dados e

desmistificando mitos
Análise da Trend Micro da câmara de compensação de direitos de privacidade
Registros de violação de dados de 2005–2015
Nós somos Huq

Equipe de Pesquisa de Ameaças Prospectivas (FTR)
Um artigo de pesquisa da TrendLabsSM

AVISO LEGAL MICRO DA TREND
As informações aqui fornecidas são apenas para fins informativos e
educacionais. Não se destina e não deve ser interpretado como

Conteúdo
aconselhamento jurídico. As informações aqui contidas podem não ser
aplicáveis a todos
situações e podem não refletir a situação mais atual.
Nada contido neste documento deve ser invocado ou executado sem o
benefício de aconselhamento jurídico com base nos fatos e circunstâncias

5
particulares apresentados e nada aqui
deve ser interpretado de outra forma. A Trend Micro reserva-se o O que é uma violação de dados?
direito de modificar o conteúdo deste documento a qualquer momento sem
aviso prévio.
As traduções de qualquer material para outros idiomas são
concebido apenas como uma conveniência. A precisão da tradução é
não garantido nem implícito. Se surgir alguma dúvida relacionada à
precisão de uma tradução, consulte a versão oficial do documento no

8
idioma original. Qualquer
discrepâncias ou diferenças criadas na tradução são Uma década de violações

não são vinculantes e não têm efeito legal para cumprimento ou
fins de execução.
Embora a Trend Micro faça esforços razoáveis para incluir
informações precisas e atualizadas aqui contidas, Trend Micro
não oferece garantias ou representações de qualquer tipo como
à sua precisão, atualidade ou integridade. Você concorda

15
que o acesso, uso e confiança neste documento
e o conteúdo do mesmo é por sua conta e risco. Trend Micro

Seguindo dados roubados
isenta-se de todas as garantias de qualquer tipo, expressas ou implícitas.
Nem a Trend Micro nem qualquer parte envolvida na criação, produção ou
entrega deste documento será responsável por qualquer consequência,
perda ou dano, incluindo direto,
indireta, especial, consequente, perda de lucros comerciais,
ou danos especiais, decorrentes do acesso, 38

uso de, ou incapacidade de usar, ou em conexão com o uso de
deste documento, ou quaisquer erros ou omissões no conteúdo
disso. O uso dessas informações constitui aceitação para

Defendendo-se contra
usar em uma condição "como está".
violações de dados
42
Legislação sobre violação de
dados nos EUA
45
As violações de dados
vieram para ficar
“Um maciço hack atrás do outro,” esta declaração provavelmente descreveria melhor o que aconteceu
nos últimos 10 anos. As violações de dados tornaram-se um status quo, um fato alarmante, mas não
surpreendente, considerando como os invasores continuam encontrando maneiras de se infiltrar nas redes
e roubar informações.
Essas violações são prejudiciais. Você só tem que olhar para os últimos meses para a prova.
Em fevereiro, a seguradora Anthem anunciou uma violação que expôs milhões de seus registros
confidenciais. A invasão do Office of Personnel Management (OPM) dos Estados Unidos (EUA) em
junho colocou em risco 21,5 milhões de funcionários e candidatos do governo do país. Mais
recentemente, em agosto, o hack de Ashley Madison difamou publicamente cerca de 32 milhões de
sua clientela. Esses incidentes não são motivo de riso, especialmente porque colocam reputações e
vidas reais em jogo.
Muito já foi dito sobre violações - seu impacto nas vítimas, seu custo e outros enfeites -, mas pouco
foco é colocado nos dados roubados, para onde vão, que outras informações podem ser extraídas e
como os invasores podem usar isto. Este trabalho visa cobrir isso.
Vamos acompanhar os dados. Graças ao banco de dados de violações de dados da Privacy Rights
Clearinghouse (PRC), pudemos examinar o que foi roubado, extrair probabilidades e investigar
atividades relacionadas no submundo do crime cibernético.
Por meio das análises, observamos vários fatos interessantes que dissipam mitos comuns sobre
violações de dados, o que pode ajudar as organizações a identificar um curso de ação que melhor
proteja suas informações. Aqui estão apenas algumas de nossas descobertas mais notáveis:
• Hacking ou malware estiveram por trás de 25% dos incidentes de violação de dados de 2005
a abril de 2015.
• Nos últimos cinco anos, os incidentes de violação de dados de cartões de pagamento aumentaram
169%.
• O setor de saúde foi o mais afetado por violações de dados, seguido pelo
governo e varejo.
• As informações de identificação pessoal (PII) foram o tipo de registro mais roubado. Financeiro
os dados ficaram em segundo lugar.
• Além dos despejos usuais de cartões de crédito, contas bancárias e PII – cujos preços no submundo
se estabilizaram –, havia uma proeminência de anúncios vendendo Uber, PayPal e contas de
pôquer.
Neste documento, também compartilharemos os controles de segurança críticos que as empresas

devem tentar estabelecer e fortalecer para detectar invasões e divulgações não intencionais que
pode levar a violações de dados.
Nossa fonte de dados
A Privacy Rights Clearinghouse (PRC) é uma corporação sem fins lucrativos

com sede na Califórnia. A missão da PRC é engajar, educar e capacitar
indivíduos para proteger sua privacidade1 . Eles fazem isso aumentando a
conscientização dos consumidores sobre como a tecnologia afeta a privacidade
pessoal e capacitam os consumidores a tomar medidas para controlar suas
informações pessoais, fornecendo dicas práticas sobre proteção de privacidade.
A PRC responde a reclamações relacionadas à privacidade de consumidores
e, quando apropriado, intercede em nome do consumidor/ ou encaminha-o
para as organizações apropriadas para assistência adicional. O PRC documenta
as reclamações e perguntas dos consumidores sobre privacidade em relatórios
e os disponibiliza para formuladores de políticas, representantes da indústria,
defensores do consumidor, mídia, etc. O PRC defende os direitos de
privacidade dos consumidores em procedimentos de políticas públicas locais,
estaduais e federais.
A PRC publica a “Cronologia de violações de dados, violações de segurança

2005–Present1 ”, que é uma coleção de relatórios de incidentes de violação de
dados divulgados publicamente que ocorreram nos Estados Unidos. Os dados
são compilados a partir de uma variedade de fontes, incluindo: mídia,
comunicados de imprensa do Gabinete do Procurador-Geral, comunicados de
imprensa da empresa, sites de privacidade, etc.
O que é uma violação de dados?

Relatórios de violações de dados que afetam governos, hospitais, universidades, instituições financeiras, varejistas,
e assim por diante dominam as notícias com frequência cada vez maior. Esta é apenas a ponta do iceberg, com o
a grande maioria dos incidentes permanece não relatada e não divulgada2, 3, 4. Para entender melhor essas violações,
é importante definir o termo. A Organização Internacional de Normalização (ISO)/Internacional
A Comissão Eletrotécnica (IEC) 27040 define uma violação de dados como:
“Comprometimento da segurança que leve à destruição acidental ou ilícita, perda,
alteração, divulgação não autorizada ou acesso a dados protegidos transmitidos, armazenados ou
processado de outra forma5 .”
Uma ampla gama de dados confidenciais está comprometida em todos os setores, desde empresas, grandes e pequenas,
assim como indivíduos. Isso inclui PII, financeiro, saúde, educação, dados de cartão de pagamento, credenciais de login,
propriedade intelectual e outros. Nas notícias, as violações de dados são quase sempre atribuídas a hacking ou
ataques de malware. Embora desempenhem um papel importante, eles não respondem por todos os incidentes. Outros métodos de violação
freqüentemente observados incluem ataques internos, roubo ou perda e divulgações não intencionais.
Os perpetradores que comprometem dados confidenciais referem-se a um grupo diversificado que inclui insiders, indivíduos
criminosos, bem como grupos organizados e patrocinados pelo Estado. Dados roubados são comumente usados para cometer
crimes como fraude financeira, roubo de identidade e propriedade intelectual, espionagem, vingança, chantagem e
extorsão.
Como as violações de dados se tornaram um assunto cotidiano, as pessoas podem ter se tornado insensíveis a ter
seus dados pessoais, financeiros, de saúde, educação e outros dados comprometidos e vendidos em mercados criminosos.
Essa dessensibilização pode ser o produto de vários fatores:
• Há uma sobrecarga de artigos de notícias diários sobre violações de dados.
• Os dados confidenciais roubados não são tão tangíveis quanto, por exemplo, um celular roubado.
• As más consequências do roubo de dados confidenciais não são sentidas instantaneamente.
• Há uma falta de compreensão das repercussões do roubo de dados confidenciais.
5 | Siga os Dados
A penalidade eventual de ter dados confidenciais roubados é alta e algumas vítimas (de roubo de identidade e
fraude, por exemplo) sofrem por anos sem culpa própria. As leis de divulgação de violação de dados existem
nos EUA. Mas eles fornecem a proteção necessária para proteger verdadeiramente o indivíduo comum? As
empresas estão cumprindo-as e divulgando incidentes de violação de dados quando eles ocorrem?
Califórnia 14,7%
Nova Iorque 8,7%
Texas 6,4%
Flórida 5,4%
Illinois 4,1%
Ohio 3,5%
Geórgia 3,4%
Massachusetts 3,3%
Pensilvânia 3,2%
Carolina do Norte 2,8%
Virgínia 2,5%
Distrito da Colombia 2,5%
Indiana 2,5%
Colorado 2,4%
Washington 2,3%
Nova Jersey 2,1%
Maryland 2,0%
Connecticut 1,9%
Tennessee 1,8%
Michigan 1,8%
Outros 22,7%
Figura 1: Os 20 principais estados dos EUA que relataram violações de dados
Nota: Se o impacto para o negócio ou organização for multiestado,

nacional, ou global, foi utilizada a localização da sede.
6 | Siga os Dados
Violações de dados são eventos complexos. Qualquer empresa ou organização que processe e/ou armazene informações confidenciais
data é um possível alvo de violação. Mesmo que as organizações tenham um plano de resposta a incidentes para lidar com dados
violações, descobrir a extensão do dano causado e gerenciar a resposta ainda pode ser uma tarefa desafiadora. Depois que uma
violação é descoberta, as primeiras perguntas normalmente feitas são:
• Quais dados ou registros foram roubados?
• Há quanto tempo ocorre a violação?
• Como os atacantes contornaram as defesas?
• Quão profundamente os invasores penetraram na rede?
Estas são perguntas difíceis de responder. Os incidentes precisam ser avaliados rapidamente, pois o tempo é crítico quando
combate a violações ativas.
É quase impossível prever se, por que, quando, onde e como uma empresa ou organização será violada.
Os métodos de violação e os dados direcionados variam entre setores e até mesmo empresas ou organizações dentro
a mesma indústria. As violações de dados geralmente são premeditadas, embora também ocorram violações acidentais de dados.
Algumas violações de dados são descobertas em questão de horas ou dias, enquanto outras levam meses ou anos.
Na maioria dos incidentes de violação de dados, os dados roubados foram usados para fins criminosos, enquanto em alguns
casos, as violações não foram intencionais.
7 | Siga os Dados
Uma década de violações

Todos os relatórios de incidentes de violação de dados neste documento foram coletados do banco de dados da PRC a partir de janeiro
2005 a abril de 2015. Os “Tipos de organização” originais da PRC foram expandidos para incluir uma ampla gama de
indústrias, a fim de fornecer uma visão refinada dos perfis das vítimas. Cada entrada foi analisada para determinar
os tipos de registro comprometidos.
• PII: nomes, endereços, números de CPF, datas de nascimento, números de telefone, etc.
• Dados financeiros: informações bancárias, de seguros e de cobrança, etc.
• Dados de saúde: Registros de hospitais e consultórios médicos, seguro médico, etc.
• Dados educacionais: escola, faculdade, universidade ou registros relacionados.
• Cartões de pagamento: crédito, débito, crédito com a marca da loja e cartões-presente pré-pagos.
• Credenciais: Credenciais de login para eBay, PayPal, e-mail baseado na Web, banco on-line e
outras contas.
• Outros: Propriedade intelectual e inteligência sobre uma organização.
• Desconhecido: em muitos casos, os investigadores não conseguiram determinar o que foi roubado.
Os dados coletados foram analisados usando ferramentas que incluem KH Coder6 , MSBNx7 , e Explorar o Analytics8 .
Na realidade, apenas uma fração de todos os incidentes de violação de dados é realmente relatada. Um aumento no número de
incidentes relatados indicam fortemente que o volume total de violações de dados também aumentou e vice-versa.
8 | Siga os Dados
800
400
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Figura 2: divulgações de incidentes de violação de dados de 2005 a abril de 2015
A Figura 2 mostra que o número total de incidentes relatados por ano tem aumentado continuamente desde 2009,
exceto em 2014, quando houve um declínio acentuado. Este aumento pode ter várias explicações plausíveis:
• As leis de notificação de violação de dados foram implementadas por diferentes estados, obrigando empresas e
organizações para relatar incidentes.
• À medida que a Internet se expande e novos aplicativos são introduzidos, as empresas aumentam constantemente sua presença on-
line, levando a um aumento de ataques de hackers ou malware.
• Os criminosos estão monetizando dados roubados com mais facilidade e, portanto, cometendo mais crimes de violação de dados.
A diminuição do número de incidentes reportados em 2014 pode ter marcado o início de uma nova
tendência em que as organizações reprimiram rapidamente as violações de segurança e impediram o vazamento de dados confidenciais
ou empresas e organizações simplesmente não relataram violações. Este artigo coletou relatórios de incidentes apenas até abril de 2015.
Como tal, é muito cedo para tirar conclusões sobre qualquer nova tendência. De acordo com o “Relatório de investigações de violação
de dados de 20159 ” da Verizon, espera-se que o tempo para identificar e responder a um incidente de violação aumente, destacando o
crescente “déficit de detecção” que as empresas enfrentam. No entanto, curiosamente, o gráfico de déficit de detecção de defensores
(Figura 5 na página 6 do relatório da Verizon) mostra que a diferença de déficit entre o tempo para comprometer e o tempo para descobrir
diminuiu de 77% em 2013 para 45% em 2014. Isso foi um declínio significativo e esperançosamente uma nova tendência avançando.
Pode ser um sinal de contenção rápida que reduz o número de incidentes de violação de dados. Além disso, as empresas estão
implementando planos, protocolos, procedimentos e verificações para evitar o vazamento de dados confidenciais, o que também ajuda a
reduzir violações.
9 | Siga os Dados
Hacking ou malware 25,0%
Perda de dispositivo portátil 24,0%
divulgação não intencional 17,4%
Vazamento interno 12,0%
Perda física 11,6%
Perda de dispositivo estacionário 5,4%
Fraude de cartão de pagamento 1,4%
Desconhecido 3,2%
Figura 3: Métodos de violação observados em todos os setores
Nas notícias, as violações de dados são quase sempre atribuídas a ataques de hackers ou malware. Enquanto estes
os ataques desempenham um grande papel, eles representam apenas um quarto de todos os incidentes relatados. Outros frequentemente
métodos de violação observados incluem:
• Vazamento interno: um indivíduo confiável ou autoridade com privilégios de acesso rouba dados.
• Fraude de cartão de pagamento: os dados do cartão de pagamento são roubados usando dispositivos físicos de clonagem.
• Perda ou roubo: unidades portáteis, laptops, computadores de escritório, arquivos e outras propriedades físicas são
perdido ou roubado.
• Divulgação não intencional: por meio de erros ou negligência, dados confidenciais são expostos.
• Desconhecido: em um pequeno número de casos, o método de violação real é desconhecido ou não divulgado.
Entraremos em mais detalhes sobre tipos de registros e combinações de tipos de registros roubados com base em nossa análise
dos dados da PRC em nosso material complementar, “Follow the Data: Analyzing Breaches by Industry”. Os setores de saúde, educação, governo, varejo e
financeiro foram as vítimas mais frequentes de violação de dados. Estudamos cinco conjuntos de dados para cada setor e analisamos os padrões de
tendências. As seguintes seções
dê uma olhada em dois crimes de violação de dados frequentemente observados - violações de dados de cartões de pagamento e
roubo de identidade e fraude.
10 | Siga os Dados
Violações de dados de cartões de pagamento aumentaram exponencialmente desde 2010

Roubar dados de cartões de pagamento tornou-se um crime cotidiano que gera ganhos monetários rápidos. o objetivo é
para roubar os dados armazenados na tarja magnética dos cartões de pagamento, opcionalmente clonar cartões e executar cobranças
em contas associadas a cartões. Os criminosos estão roubando fisicamente os cartões de pagamento (cartões de débito e crédito) há algum
tempo. Técnicas comuns para clonar cartões de pagamento incluem:
• Fazendo uma mistura de cartões
• Armar caixas eletrônicos ou bombas de gasolina com painéis falsos que roubam dados
• Modificação de terminais de ponto de venda (PoS) na loja
• Usando keyloggers de hardware disponíveis no mercado em caixas registradoras10
100
50
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Figura 4: Incidentes de violação de dados de cartões de pagamento de 2005 a abril de 2015
11 | Siga os Dados
Varejo 47,8%
Financeiro 10,2%
Assistência médica 5,5%
Educação 4,8%
Bancário 4,7%
Governo 4,7%
Hospitalidade 3,8%
Serviço 3,3%
Tecnologia 3,2%
Alimentos e bebidas 2,7%
Outros 9,3%
Figura 5: Setores afetados por violações de dados de cartões de pagamento
Perda física 4,8%
Desconhecido 4,0%
Figura 6: métodos de violação de dados de cartão de pagamento usados
Todas essas técnicas exigem acesso físico aos cartões ou aos dispositivos usados para processá-los. Esse
apresenta um grande risco de ser preso. Além disso, skimmers não podem ser prontamente implantados em massa para máxima
eficácia. Portanto, os criminosos recorreram ao uso de software malicioso como raspadores PoS RAM para
roubar dados de cartão de pagamento, principalmente informações de cartão de crédito. Uma variedade de técnicas de infiltração são usadas para
obter entrada inicial e mover-se lateralmente pela rede da vítima para comprometer os servidores PoS.
Olhando para os números de violação de dados de cartões de pagamento, vemos um aumento acentuado de 2010 em diante. Esse
podem ser atribuídos diretamente aos raspadores PoS RAM, que foram desenvolvidos em algum momento entre 2007 e
2008 e ganhou popularidade como uma ferramenta de roubo de dados por volta de 2010. Incidentes de roubo de dados de cartão de pagamento antes
12 | Siga os Dados
2010 envolveu principalmente criminosos usando dispositivos de clonagem. Os skimmers não desapareceram completamente, mas
os incidentes de roubo de dados de cartões de pagamento hoje em dia são predominantemente feitos usando raspadores de RAM
PoS. Isso se reflete no fato de que os ataques de hacking ou malware foram responsáveis por mais da metade dos cartões de pagamento
violações de dados vistas.
O setor de varejo foi a maior vítima de violações de dados de cartões de pagamento, já que a maioria dos cartões de crédito e débito
as transações ocorrem nas lojas. Outras indústrias também foram afetadas. Em poucas palavras, qualquer negócio ou
organização que processa ou armazena dados de cartão de pagamento é uma vítima em potencial.
O roubo de identidade foi mais desenfreado no setor de saúde

O roubo de identidade é o estágio preparatório de aquisição e coleta de informações pessoais de outra pessoa
(nome, endereço, data de nascimento, CPF, etc.) para fins criminais. Fraude de identidade é o
uso enganoso real das informações pessoais roubadas para cometer fraude11. Um criminoso finge ser
outra pessoa (viva ou morta) assumindo falsamente e usando a identidade dessa pessoa para obter acesso a recursos ou serviços,
solicitar cartões de crédito ou empréstimos, registrar contas falsas, arquivar declarações fiscais fraudulentas para coletar descontos e
outras atividades sem o conhecimento da vítima ou consentimento. O banco de dados da RPC
incidentes registrados quando dados roubados foram usados para cometer roubo de identidade e fraude.
Assistência médica 29,8%
Varejo 15,9%
Governo 13,6%
Financeiro 11,2%
Educação 10,9%
Outros 4,3%
Bancário 3,9%
Serviço 2,7%
Seguro 1,9%
Hospitalidade 1,6%
Tecnologia 1,6%
Manufatura 0,6%
Bens de consumo 0,4%
Alimentos e bebidas 0,4%
Materiais 0,4%
telecomunicações 0,4%
Transporte 0,4%
Figura 7: Roubo de identidade e vítimas de fraude por setor
13 | Siga os Dados
Perda física 9,3%
Desconhecido 5,0%
Figura 8: Métodos de violação de dados usados para roubo de identidade e fraude
PII 28,7%
Saúde + PII 9,7%
Financeiro + PII 9,3%
Cartão de pagamento 8,9%
Financeiro + saúde + PII 6,6%
Financeiro 5,4%
Saúde 4,3%
Financeiro + cartão de pagamento 3,5%
Financeiro + PII + cartão de pagamento 3,1%
Educação + PII 2,3%
PII + cartão de pagamento 2,3%
Credenciais + financeiro + PII 1,6%
Educação + financeiro + PII 1,6%
Financeiro + saúde + PII + cartão de pagamento 1,6%
Credenciais + financeiro + PII + cartão de pagamento 1,2%
Outros 9,9%
Figura 9: Combinações de tipo de registro comprometidas em
casos conhecidos de roubo de identidade e fraude
A maioria dos crimes conhecidos de roubo de identidade e fraude afetou os setores de saúde, varejo, governo, financeiro,
e indústrias de educação. Isso pode ocorrer porque essas indústrias processam e armazenam uma grande quantidade de PII que
podem ser usados para cometer fraude de identidade. Insiders foram os maiores perpetradores em roubo de identidade conhecido e
casos de fraude. Outras grandes ameaças às PII incluem hacking ou ataques de malware e perda ou roubo.
14 | Siga os Dados
Seguindo dados roubados

Os meios de comunicação são rápidos em relatar violações de dados, mas raramente acompanham o que aconteceu com o roubado
dados. Rastrear a movimentação de dados roubados pode ser difícil porque:
• Pode aparecer após semanas ou meses ou não aparecer nos mercados da Deep Web.
• Quando é vendido, não é explicitamente anunciado como pertencente a uma determinada violação, negócio ou
organização. Isso ajuda os criminosos a evitar chamar atenção e escrutínio indesejados.
• As vítimas de violação não divulgarão informações que facilitariam a identificação dos dados roubados.
• Milhões de registros estão disponíveis para compra em mercados da Deep Web e dados roubados podem ser
escondendo-se em plena vista.
• O acesso aos dados roubados exige sua aquisição, o que é caro e pode ser considerado crime.
Com base em nossa análise dos dados do PRC, modelamos as relações entre diferentes eventos observados em
incidentes de violação. Criamos uma rede bayesiana* para modelar cenários de violação de dados comumente observados.
Para simplificar, optamos por não nos concentrar em setores individuais, mas criamos modelos gerais.
A perda ou roubo do dispositivo é o método de violação mais provável

A Figura 10 mostra a probabilidade de diferentes métodos de violação de dados serem usados. (Observe que os métodos de violação
são mutuamente exclusivos.) A principal maneira pela qual os dados confidenciais foram comprometidos foi por meio de perda ou roubo.
Isso incluiu a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.),
registros (arquivos, recibos, contas, etc.) e dispositivos estacionários (computadores de escritório, equipamentos especializados, etc.).
Ataques de hacking ou malware constituíram a próxima grande ameaça, seguida por divulgação não intencional e
ameaças internas. Dados de cartão de pagamento comprometidos por clonagem, keylogging ou métodos semelhantes apresentados
menos de 2% de risco. Em pouco mais de 3% dos casos, o método de violação real permaneceu desconhecido.
_________
*Uma Bayesiana, Bayes ou rede de crenças é um modelo gráfico probabilístico (um tipo de modelo estatístico) que representa um conjunto de
variáveis e suas dependências condicionais.
15 | Siga os Dados
Perda ou roubo 41,0%
Desconhecido 3,2%
Figura 10: Probabilidade de usar diferentes métodos de violação
PII são os dados mais prováveis roubados; dados financeiros, segundo

A Figura 11 mostra o mapeamento de probabilidade condicional de Record_Type_Y também sendo roubado se Record_
Tipo_X é. (Observe que os tipos de registro roubados são eventos dependentes.) Ao investigar uma violação de dados,
se Record_Type_X for roubado, é fundamental descobrir quais outros tipos de registro também podem ter sido roubados.
Dependendo do setor ao qual a vítima pertence, o tipo de dados visado varia.
• PII foi o tipo de registro roubado mais popular. Há uma probabilidade de 70,05% de que as PII também tenham sido roubadas se as credenciais
forem roubadas. Há uma probabilidade de 73,33% de que as PII também tenham sido roubadas se os dados financeiros forem roubados e
assim por diante. Quase todos os tipos de registro contêm algumas PII. No caso de uma violação, as PII provavelmente
ser roubado.
• Os dados financeiros foram o segundo tipo de registro mais popular roubado. Há uma probabilidade de 21,8% de que os dados financeiros
também tenham sido roubados se as PII tiverem sido roubadas. Há uma probabilidade de 19,24% de que os dados financeiros também
tenham sido roubados se as informações de saúde foram roubadas e assim por diante. Os dados financeiros são um alvo popular porque
podem ser facilmente monetizados. Ele também contém PII que pode ser monetizado, indicando uma vitória dupla para os criminosos.
• O roubo de dados de saúde tornou-se popular a partir de 2010. Ele contém PII e também pode incluir dados financeiros, tornando-o um alvo
lucrativo para criminosos. Há 72,74% de chance de que as PII também tenham sido roubadas
se os dados de saúde foram roubados. Há uma chance de 20,79% de que os dados financeiros também tenham sido roubados se a saúde
informações foram roubadas.
• Os dados educacionais são roubados por motivos semelhantes aos das informações de saúde. O roubo de dados educacionais tem,
no entanto, diminuiu ao longo dos anos. Há uma probabilidade de 79,14% de que as PII também tenham sido roubadas se a educação
dados o que roubado.
16 | Siga os Dados
• O roubo de dados de cartões de pagamento tornou-se muito popular após a criação dos raspadores de RAM PoS. Os dados do cartão de
pagamento são comumente roubados diretamente da RAM dos servidores PoS. É por isso que outros tipos de registro raramente são
roubados junto com os dados do cartão de pagamento. Em incidentes em que outros tipos de registros também foram roubados, os
dados do cartão de pagamento foram armazenados com eles.
• A coleta de credenciais normalmente é feita individualmente, e é por isso que outros tipos de registro raramente são roubados juntamente
com as credenciais. eBay, PayPal, Webmail, serviços bancários online e outras credenciais de contas geralmente são roubadas.
• Os criminosos roubam todos os tipos de dados disponíveis. Isso foi observado na violação da Sony Pictures em novembro de 201412. E-
mails internos, filmes inéditos, registros de saúde, senhas, dados salariais e outros foram comprometidos e divulgados ao público,
prejudicando enormemente a reputação da Sony Pictures. Mais recentemente, a Hacking Team, fabricante de software de vigilância, foi
hackeada e 415 GB de dados roubados foram tornados públicos. Isso incluía e-mails, informações de clientes, software, vulnerabilidades
de dia zero e assim por diante13. Roubar outras informações além de PII, credenciais e dados financeiros, de saúde, educação e cartão
de pagamento não é tão raro quanto os números de probabilidade indicam. As divulgações de incidentes de violação de dados concentram-
se nos dados mais arriscados roubados versus todas as informações obtidas. A definição de “dados arriscados” se expandirá
à medida que mais incidentes de violação em que outras informações são roubadas são divulgados.
19,74% 19,24%
Financeiro
2,06%
28,65%
34,03% 11,30%
21,80% 20,79%
2,15% 22,27%
4,62%
Outros 73,33% Saúde

1,56% 23,37%
0,82%1,75% 4,11%
1,50% 50,42% 72,74%
7,42%
PII
3,11% 79,14%
15,72%
43,68%
4,62% 1,17%
70,05% 2,23%
6,47% 7,60%
4,62%
Educação Cartão de
1,35%10,93% 2,87% pagamento
17,86%
4,84% 7,56% 16,68%
3,60%
9,23% 14,96%
Credenciais
Probabilidade Record_Y também foi

Registro_X Record_Y
roubado se Record_X foi roubado
Figura 11: Probabilidade condicional de Record_Type_Y também ser roubado se Record_Type_X for
17 | Siga os Dados
Hacking ou Fraude de cartão de divulgação não Vazamento

Perda ou roubo Desconhecido
malware pagamento intencional interno
68,89% 15,62% 86,92% 65,68% 84,18% 59,15%

PII
22,64% 32,81% 22,05% 29,13% 20,22% 34,51%

Financeiro
6,95% - 20,00% 34,88% 35,87% 18,31%

Saúde
29,32% 100% 3,59% 17,25% 3,21% 16,9%

Cartão de pagamento
30,39% 10,94% 9,36% 7,42% 3,21% 12,68%

Credenciais
6,86% - 13,2% 1,86% 4,73% 3,52%

Educação
2,14% - 2,69% 3,33% 2,28% 1,41%

Outros
25,85% - - - 1,09% 7,75%

Desconhecido
Figura 12: Método de violação para mapeamento de probabilidade de tipo de registro
A Figura 12 mostra o mapeamento de probabilidade dos métodos de violação de dados para registrar os tipos roubados. (Observe que
métodos de violação e tipos de registro são eventos independentes.)
• Credenciais e cartões de pagamento e outros dados raramente são comprometidos por perda ou roubo.
• A maioria dos métodos de violação de dados tem mais de 60% de probabilidade de serem usados para comprometer PII.
• Os dados do cartão de pagamento raramente são divulgados acidentalmente. Por outro lado, acidental ou não intencional
divulgação de PII é comum.
• Insiders raramente vão atrás de dados e credenciais educacionais. Em incidentes de violação envolvendo insiders, o
tipos de registros roubados são identificados.
• Em incidentes em que os investigadores não conseguiram descobrir qual método de violação foi usado, há um alto
probabilidade de roubo de dados financeiros e/ou PII.
18 | Siga os Dados
Figura 13: Rede de coocorrência para palavras-chave extraídas
Cada entrada no banco de dados PRC foi convertida no seguinte formato:
Record_Index, Company_Name, Indústria, Localização, Breach_Date, Breach_Method, Total_

Records_Stolen, Record_Type, Information_Source, Extra_Information_Keywords
Um exemplo foi dado abaixo.
13, Piedmont Advantage Credit Union, Financial, North Carolina, 02-Mar-15, Portátil
Perda de dispositivo, desconhecido, [“PII”], mídia, [“associação de crédito””proteção por senha””desconhecido”]
19 | Siga os Dados
Para criar uma visão alternativa dos incidentes de violação de dados, um diagrama de rede de coocorrência foi gerado para as 1.000
principais palavras-chave extraídas usando o KH Coder8 . Na Figura 13, os tamanhos das bolhas representam a frequência, as cores
indicam comunidades agrupadas por palavras-chave e uma árvore abrangente mínima (MST) conecta os nós (com linhas em negrito
representando links fortes). A rede de coocorrência mostra
agrupamentos de palavras-chave interessantes e suas conexões, como:
• A comunidade azul mostra que a perda ou roubo de dispositivos portáteis era um problema frequente no setor de saúde
indústria. Muitos eventos são atualmente desconhecidos e podem envolver funcionários.
• A comunidade roxa mostra bolhas associadas a ataques de hacking ou malware que conectam cartões de crédito, servidores, instituições
educacionais, fornecedores terceirizados, sites e assim por diante. Os cartões de crédito foram frequentemente vinculados a
violações envolvendo lojas de varejo e restaurantes.
• A comunidade vermelha conecta palavras-chave de dois grupos aparentemente díspares: divulgações não intencionais e ataques de
hacking ou malware. A conexão existe porque os hacktivistas postam publicamente dados roubados para prejudicar empresas ou
organizações, enquanto divulgações não intencionais são conceitualmente semelhantes, exceto pelo fato de que os vazamentos
ocorrem devido a erros ou negligência.
• A comunidade amarela conecta os diferentes crimes cometidos. Algumas palavras-chave indicam que o
criminosos foram presos, mas esses incidentes tiveram uma frequência menor.
• A comunidade verde é um saco misto, conectando tudo, desde o mergulho no lixo até ações judiciais e sentenças de prisão para
criminosos. Não foram derivadas muitas correlações significativas desse agrupamento, além do fato de que há incidentes que
conectam um subconjunto dessas palavras-chave.
Hacking ou malware são os métodos de violação preferidos

Violações de dados são eventos complexos com inúmeros cenários prováveis. Com base em nossa análise dos dados do PRC, criamos
uma rede bayesiana (Figura 14) para modelar cenários de violação de dados comumente observados.
• Hacking ou malware foram usados para comprometer todos os tipos de registro. Os ataques de hacking ou malware geralmente incluem
phishing, exploração de vulnerabilidades, obtenção de acesso não autorizado e comprometimento de servidores e bancos de dados.
Os dados do cartão de crédito e débito também foram comprometidos por hackers ou ataques de malware.
• Em incidentes em que o método de violação é desconhecido, PII e dados financeiros, de cartão de pagamento e/ou de saúde
provavelmente estavam comprometidos.
• Varejistas e restaurantes foram vítimas frequentes de fraudes com cartões de pagamento. Dispositivos de clonagem são usados, mas
raspadores PoS RAM são de longe as ferramentas mais populares para coletar dados de cartões de pagamento. Dados de cartões
de pagamento roubados são frequentemente usados para fazer compras fraudulentas.
• Divulgações não intencionais expuseram PII e dados de saúde e educação. As divulgações não intencionais ocorrem quando os dados
são acidentalmente publicados online, vazados por negligência ou expostos devido a erros ou negligência por parte de fornecedores
terceirizados e contratados que lidam com as informações.
• Insiders visavam PII e dados financeiros, de cartões de pagamento, de saúde e outros. Fazer reivindicações fiscais fraudulentas, roubo
e fraude de identidade e vender dados para terceiros são crimes comuns cometidos por pessoas de dentro.
20 | Siga os Dados
• PII e dados financeiros, de saúde e educação foram frequentemente comprometidos por perda ou roubo.
Isso inclui a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.), registros físicos (arquivos,
recibos, contas etc.) e dispositivos estacionários (computadores de escritório, equipamentos especializados etc.).
Violação de dados
violação
durante
uma
Informações
roubadas
Cartão de
PII Financeiro Saúde Credenciais Educação Outros Desconhecido
pagamento
métodos
violação
de
Hacking ou Fraude de cartão de divulgação não Vazamento Perda ou Desconhecido
malware pagamento intencional interno roubo
Acesso não
Phishing Postado on-line Reivindicação fiscal de fraude
autorizado
compra
fraudulenta
Vulnerabilidade Registro exposto Roubo de identidade
Aparelho portátil Disco rígido
Servidor Varejista Disco vendido
Acidente ou erro
criptografado
Base de dados Restaurante
funcionário
Flash drive
desonesto
hacker Dispositivo de skimming
Fornecedor
terceirizado Não criptografado
Cartão de crédito Registro roubado
Registro físico Descarte impróprio

Cartão de débito Contratante Registro mal utilizado
Hospital ou clínica
Dispositivo Equipamento
Computador
Figura 14: rede bayesiana mostrando cenários de violação de dados comumente observados
Quem está roubando dados?

Os perpetradores que comprometem dados confidenciais constituem um grupo diversificado:
• Insiders: É difícil entender o que motiva os insiders. Atuam contra organizações das quais fazem ou fizeram parte e atuam indiretamente
contra seus próprios interesses14. Insiders podem ser motivados por dinheiro, ideologia, coerção e ego. Mais de um desses motivos
está freqüentemente em jogo.
21 | Siga os Dados
• Criminosos individuais: normalmente se referem a operações de um para dois homens que roubam e vendem dados confidenciais
no mercado negro. Eles geralmente lançam ataques de hackers ou malware. Eles compram malware de hackers ou fóruns
criminosos, usam-nos para comprometer os sistemas das vítimas, roubar dados confidenciais e vender informações roubadas
em mercados da Deep Web15, 16, 17, 18. Os hacktivistas roubam dados como um ato de vingança contra uma empresa ou
organização ao divulgá-lo ao público.
• Grupos organizados: são grupos criminosos bem financiados que administram esquemas organizados para roubar e monetizar
dados confidenciais. Os sindicatos do crime conhecidos geralmente financiam e administram esses grupos. Grupos hacktivistas
como o Anonymous roubam dados por motivos ideológicos e divulgam informações roubadas ao público para causar
constrangimento e danos a empresas ou organizações.
• Grupos patrocinados pelo Estado: os dados são frequentemente roubados para coleta de informações e espionagem ou para
obter vantagem competitiva. A mídia tende a culpar os Estados-nação por esse tipo de ataque. O jogo da culpa costuma ser
jogado quando organizações governamentais e empresas de defesa são atingidas por violações de dados, mas, na realidade, a
atribuição é muito difícil de determinar. Os ataques patrocinados pelo estado seguem um dos dois modelos operacionais – um
estado controla a equipe de hackers e seus recursos ou um estado terceiriza as atividades de hackers para terceiros, que
atacam os mesmos alvos ou alvos diferentes.
Quais crimes são cometidos com dados roubados?

As violações de dados afetam indivíduos e empresas (grandes e pequenas) diariamente. A maioria das violações de dados visa
roubar PII, dados financeiros e credenciais. É importante identificar os crimes cometidos com
cada tipo de dados roubados.
• PII: Isso pode ser usado para cometer fraude de identidade, preencher declarações fiscais fraudulentas, solicitar empréstimos ou
cartões de crédito, registrar contas falsas, vender para empresas de marketing e lançar spam e phishing
ataques.
• Dados financeiros: podem ser usados para criar cartões de crédito falsificados, pagar contas, fazer transações online fraudulentas
e transferir dinheiro das contas bancárias das vítimas.
• Credenciais: podem ser usadas para roubar propriedade intelectual, cometer espionagem e
lançar ataques de spam e phishing.
• Outros: Há casos em que os dados roubados são utilizados em ataques de vingança e/ou hacktivismo. Em
estes, as vítimas são chantageadas ou os dados roubados são mantidos para resgate.
Por quanto são vendidos os dados roubados?

Dados roubados podem ser facilmente encontrados para venda em mercados da Deep Web. As transações são concluídas usando
bitcoins, WebMoney ou contas caucionadas. Esses métodos de pagamento oferecem conveniência e anonimato
tanto para compradores quanto para vendedores. Nesta seção, analisamos os diferentes tipos de dados confidenciais vendidos em
mercados, juntamente com seus preços de venda.
22 | Siga os Dados
Telefone celular, Uber, PayPal e contas de pôquer à venda

Diferentes contas estão disponíveis para venda nos mercados da Deep Web.
• As contas de várias operadoras de telefonia móvel nos EUA estão disponíveis por até US$ 14 por conta.
• As contas comprometidas do PayPal e do eBay geralmente estão disponíveis para compra. Facebook, FedEx, Google Voice™, Netflix,
Amazon, Uber e outras contas também são vendidas.
• As contas comprometidas do Uber recentemente se tornaram muito populares nos mercados da Deep Web, como
estes podem ser cobrados de forma fraudulenta com passeios fantasmas19.
• Contas roubadas de vítimas no Canadá, Austrália, Reino Unido (Reino Unido) e outros países europeus estão prontamente disponíveis para
compra. Os criminosos provavelmente preferem distribuir suas operações de fraude em todo o mundo para aumentar a probabilidade de
sucesso e reduzir os riscos operacionais.
• Não há diferenças de preço entre contas PayPal verificadas e não verificadas. O saldo disponível em cada conta é listado para ajudar os
compradores em potencial a fazer compras informadas. O vendedor pode vender a mesma conta comprometida para várias partes. O
comprador aceita o risco de que as contas possam ter sido sinalizadas e bloqueadas.
• As contas PayPal e eBay, que são maduras (com meses ou anos de histórico de transações), são vendidas por até US$ 300 cada. Contas
antigas têm menos probabilidade de serem sinalizadas para transações suspeitas.
Figura 15: Contas de celular para venda
23 | Siga os Dados
Figura 16: Contas diversas para venda
Figura 17: Contas do PayPal à venda
24 | Siga os Dados
Figura 18: Contas bancárias e de poker à venda
Figura 19: Credenciais para venda
25 | Siga os Dados
Figura 20: Contas Uber à venda
Figura 21: contas PayPal e eBay à venda
26 | Siga os Dados
Credenciais de login bancário do Reino Unido e dos EUA para venda
Credenciais de login para bancos em todo o mundo são vendidas a preços exorbitantes entre US$ 200 e US$ 500
por conta nos marketplaces da Deep Web. Quanto maior o saldo disponível de uma conta, maior o seu
preço de venda. Os malwares bancários foram e continuam sendo um grande problema no Brasil20. Como tal,
Não é surpresa encontrar tantas credenciais de login de bancos brasileiros comprometidas disponíveis para compra.
Figura 22: Credenciais de login bancário do Reino Unido e dos EUA para venda
27 | Siga os Dados
Figura 23: Credenciais de login do banco com informações de saldo para venda
Os anúncios listam o saldo disponível para contas. Transferências ilegais de dinheiro são feitas para contas offshore para
sacar em contas bancárias comprometidas. Ryanair na Irlanda foi vítima de tal dinheiro fraudulento
transferência em abril de 2015, quando € 4,2 milhões foram retirados de uma de suas contas bancárias via fundo eletrônico
transferência (EFT) através de um banco chinês21. Este é um exemplo de fraude de EFT em grande escala, que foi
rapidamente rastreados e os fundos relacionados foram congelados pelas autoridades competentes. Os criminosos comprando
credenciais de login de banco comprometidas normalmente não tentarão algo tão grande; em vez disso, eles removerão
quantias menores por um longo período de tempo que serão devolvidas em várias contas em diferentes
países para dificultar o rastreamento de transações.
28 | Siga os Dados
As vendas com cartão de crédito agora são independentes de marca. Os
fóruns de carding e os mercados da Deep Web vendem dados de cartão de pagamento para qualquer pessoa disposta a pagar. Dados do cartão
vende por preços diferentes em vários fóruns. Os preços dependem da oferta e da procura, sejam cartões
são validados ou não, e quanto dinheiro os criminosos podem potencialmente roubar deles antes de serem
desativado.
• Comprar dados de cartão de crédito em massa reduz os preços unitários. Em alguns casos, os vendedores vendem apenas dados de cartão em massa,
o que poderia indicar que eles foram adquiridos recentemente.
• Ao contrário do que acontecia há um ano, já não parecem existir diferenças de preços no que diz respeito à bandeira do cartão22.
Provavelmente, isso ocorre devido a um excesso de oferta de cartões de crédito devido a várias violações de dados.
• Cartões de crédito de todos os continentes—Europa, Ásia, África, América do Norte e do Sul e Austrália—são
disponível em fóruns de carding.
• Os cartões de crédito fora dos Estados Unidos alcançam preços mais altos por unidade em comparação com os dos Estados Unidos.
• Os fóruns de cartões têm funções de pesquisa que permitem aos compradores selecionar cartões de crédito de diferentes estados e/ou bancos
emissores. Usar cartões roubados para fazer compras perto das localizações geográficas onde foram roubados tem menos probabilidade de ser
sinalizado como “suspeito”.
Figura 24: Cartões de crédito à venda
29 | Siga os Dados
Figura 25: Site para busca e compra de cartões de crédito
Figura 26: Cartões de crédito dos EUA à venda
30 | Siga os Dados
Figura 27: Cartões de crédito internacionais à venda
Figura 28: Dumps de cartão de crédito internacional para venda
31 | Siga os Dados
Preços de PII caem devido ao excesso de oferta
PII é outra mercadoria quente disponível para compra em mercados da Deep Web a preços comparativamente
Preços razoáveis.
• As PII são normalmente vendidas por linha a US$ 1 por linha. Cada linha contém um nome, um endereço completo, uma
data de nascimento, um número de CPF e outras informações. Os criminosos precisam comprar apenas algumas linhas
para cometer fraude de identidade.
• O preço médio das PII caiu de cerca de US$ 4 em 2014 para US$ 1 este ano. Isso provavelmente se deve
a um excesso de oferta de PII de várias violações de dados.
• Relatórios de crédito completos de pessoas com pontuações FICO23 muito altas estão disponíveis para compra por US$ 25
por relatório.
• Digitalizações completas de documentos como passaportes, carteiras de motorista, contas de serviços públicos e outros
estão disponíveis para compra de US$ 10 a US$ 35 por documento digitalizado. Estes são usados para criar falsificações e
roubar PII.
Figura 29: CPF e data de nascimento à venda
32 | Siga os Dados
Figura 30: PII de venda de anúncios
33 | Siga os Dados
Figura 31: PII dos EUA para venda
Figura 32: Números de CPF à venda com nomes completos,

locais e datas de nascimento dos proprietários
34 | Siga os Dados
Figura 33: Relatórios de crédito para venda
Figura 34: Documentos digitalizados para venda
Os valores monetários percebidos e reais Nos dias de hoje em que privacidade,
segurança e a falta de ambos são considerados questões importantes, a pergunta “Quanto valem seus dados pessoais?” está se tornando cada
vez mais relevante. A Trend Micro fez esta pergunta a mil clientes dos EUA, Europa e Japão e descobriu que2 :
• As senhas compreendem o tipo de dados pessoais mais valioso por US$ 75,80.
• Informações de saúde e registros médicos ficaram em segundo lugar, com valor médio de US$ 59,80. Os entrevistados dos EUA colocaram o
valor mais alto em seus registros de saúde em US$ 82,90, enquanto os consumidores europeus consideraram o valor deles de US$ 35.
• Os números da Previdência Social ficaram em terceiro lugar, com US$ 55,70.
• Os detalhes de pagamento ficaram em quarto lugar, com US$ 36,60. Os cidadãos norte-americanos cobraram US$ 45,10 por essas informações, enquanto o
Os japoneses o avaliaram em US$ 42,20. Os europeus fixaram o preço em US$ 20,70.
• Histórico de compras ficou em quinto lugar, avaliado em US$ 20,60. Os entrevistados dos EUA novamente o valorizaram mais em comparação
com os japoneses e europeus.
• As informações de localização física ficaram em sexto lugar, avaliadas em US$ 16,10. Cidadãos dos Estados Unidos custaram US$ 38,40,
enquanto os do Japão e da Europa custaram insignificantes US$ 4,80 e US$ 5,10, respectivamente.
35 | Siga os Dados
• O endereço residencial ficou em sétimo lugar, avaliado em US$ 12,90. Os consumidores dos EUA mais uma vez o fixaram em US$ 17,90.
Os respondentes japoneses estimaram esta informação em US$ 16,30, enquanto os europeus avaliaram em US$ 5,00.
• Fotos e vídeos pessoais ficaram em oitavo lugar, avaliados em US$ 12,20. Os entrevistados dos EUA os avaliaram em
US$ 26,20, enquanto os do Japão e da Europa custavam apenas US$ 4,70.
• As informações sobre o estado civil foram fixadas em uma média de US$ 8,30. Os consumidores japoneses fixaram o preço em US$ 12,70,
enquanto os americanos e europeus avaliaram essa informação em US$ 6,10 e US$ 6,00, respectivamente.
• As informações de nome e gênero foram menos avaliadas em US$ 2,90.
Uma conclusão que podemos tirar da pesquisa é que os entrevistados dos EUA valorizam quase todas as suas informações pessoais mais
do que seus colegas de outros países. Além das diferenças culturais, isso também pode ser devido ao quanto os consumidores americanos
valorizam sua privacidade e como suas vidas cotidianas giram em torno de seus
próprias informações pessoais em meio ao boom da mídia social. Outra coisa que se destacou foi como todos
considera as senhas suas informações mais valiosas. Este é um forte indicador de como as pessoas conectadas
tornaram-se na era da Internet.
Embora o valor percebido dos dados roubados seja diferente de seu preço real de venda, o valor final em dólares dos danos infligidos a uma
empresa, uma organização ou um indivíduo pela exploração criminosa é significativamente maior
do que o valor percebido e o preço de venda.
Para onde vão os “outros” dados roubados?

Até agora, as discussões se concentravam principalmente em dados roubados vendidos em mercados da Deep Web e explorados para
cometer crimes. Mas e quanto a outros dados roubados? Como mencionado anteriormente, a grande maioria das violações
permanecem não relatados e não divulgados3, 4, 5. Há muitos motivos pelos quais empresas ou organizações não
relatar violações de dados. Uma das principais razões é que as organizações violadas não são legalmente obrigadas a
divulgue quais dados foram comprometidos se isso não pertencer aos clientes. Um exemplo disso seria
propriedade intelectual. Isso deixa um buraco em nossa compreensão das violações de dados e só podemos
especular sobre o que aconteceu usando pedaços de informações disponíveis.
Em junho de 2011, vários fornecedores de defesa dos EUA foram vítimas de violações de segurança. Seus tokens RSA SecurID
foram explorados via clonagem24. Nenhuma informação foi divulgada sobre que tipo de dados foi comprometido
neste ataque. Em novembro de 2014, a Administração Nacional Oceânica e Atmosférica (NOAA)
rede sofreu uma violação de segurança25. Os dados de satélite roubados são vitais para o planejamento de desastres, aviação, navegação,
e outros usos cruciais. Detalhes sobre exatamente quais dados foram comprometidos, como a violação aconteceu,
e as supostas intenções não foram divulgadas.
36 | Siga os Dados
Em junho deste ano, uma pequena mina de ouro canadense chamada “Detour Gold” sofreu uma violação de segurança onde
mais de 100 GB de dados foram roubados26, 27. Dos 100 GB de dados roubados, 18 GB foram divulgados publicamente e contidos
IPI; dados financeiros e de saúde; e-mails; e outros. A liberação pretendia constranger e causar danos aos
a mineradora. Mas o dano real teria sido causado pelo roubo de outras informações que
não foi lançado. Especula-se que os outros dados roubados incluem informações de exploração geológica de
potenciais locais de mineração de ouro. A empresa teria gasto milhões em pesquisa e desenvolvimento (P&D)
dólares para gerar esses dados vitais de exploração.
O roubo de outros tipos de dados indica fortemente espionagem, coleta de informações e obtenção de um enorme
vantagem sobre um concorrente de negócios. Essas violações são orquestradas por grupos que têm um
interesse em obter dados para sua vantagem. As empresas ou organizações vítimas raramente divulgam a
danos reais infligidos, pois isso envolve a divulgação de detalhes sobre a violação e quais dados foram roubados, mas
que poderia facilmente chegar a milhões ou bilhões de dólares.
37 | Siga os Dados
Defendendo-se contra
violações de dados
Em poucas palavras, qualquer empresa ou organização que processe e/ou armazene dados confidenciais é um potencial
meta de violação. No mundo interconectado de hoje, as estratégias de prevenção de violação de dados devem ser consideradas
parte integrante das operações comerciais diárias. Em última análise, nenhuma defesa é inexpugnável contra determinado
adversários. O princípio-chave da defesa é assumir o compromisso e tomar contra-medidas:
• Identifique e responda rapidamente a violações de segurança contínuas.
• Contenha a violação e impeça a perda de dados confidenciais.
• Prevenir violações preventivamente protegendo todos os caminhos exploráveis.
• Aplicar as lições aprendidas para fortalecer ainda mais as defesas e evitar a repetição de incidentes.
As violações de dados são inevitáveis. Ter processos eficazes de alerta, contenção e mitigação é fundamental. Em
Nesta seção, apresentaremos recomendações para se defender contra violações de dados. Estratégias defensivas para
alguns dos métodos de violação discutidos neste artigo estão fora do escopo desta pesquisa e, portanto,
sido omitido.
Empregue o máximo possível de controles críticos de segurança

para uma ciberdefesa eficaz
O “Critical Security Controls” é uma publicação das melhores práticas para segurança de computadores. um consórcio de
empresas privadas em todo o mundo desenvolveram essas diretrizes em conjunto28, 29. É um documento “vivo” que vai
por meio de atualizações periódicas para lidar com novos riscos apresentados por um cenário de ameaças em evolução. É mantido por
o Center for Internet Security (CIS), uma entidade global independente sem fins lucrativos. Sua última versão publicada
é v5.1. Uma versão futura, v6, está atualmente disponível para comentários públicos30. Um resumo da segurança
controles é mostrado na seguinte table31, 32.
38 | Siga os Dados
Controle crítico de segurança Descrição
1. Inventário de Autorizados e Gerenciar ativamente (inventário, rastrear e corrigir) todos os dispositivos de hardware
Dispositivos não autorizados na rede para que apenas dispositivos autorizados tenham acesso e
dispositivos não autorizados e não gerenciados são encontrados e impedidos de
ganhando acesso.
2. Inventário de Autorizados e Gerencie ativamente (inventário, rastreie e corrija) todo o software no

Software não autorizado redes para que apenas software autorizado seja instalado e possa ser executado,
e que software não autorizado e não gerenciado seja encontrado e impedido

desde a instalação ou execução.
3. Configurações seguras para Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração
Hardware e software de segurança de laptops, servidores e estações de trabalho usando um gerenciamento
rigoroso de configuração e processo de controle de alterações
para evitar que invasores explorem serviços vulneráveis e
configurações.
4. Vulnerabilidade Contínua Adquirir, avaliar e agir continuamente sobre novas informações em

Avaliação e Remediação para identificar vulnerabilidades, remediar e maximizar a janela de
oportunidade para os atacantes.
5. Defesas contra malware Controle a instalação, disseminação e execução de códigos maliciosos em vários pontos
da empresa, otimizando o uso de automação para permitir atualização rápida de defesa, coleta
de dados e correções
Ação.
6. Segurança de software de aplicativo Gerencie o ciclo de vida de segurança de todos os recursos desenvolvidos internamente e
-software adquirido para prevenir, detectar e corrigir a segurança

fraquezas.
7. Controle de acesso sem fio Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso de
segurança de LANs sem fio, pontos de acesso e cliente sem fio
sistemas.
8. Capacidade de Recuperação de Dados Os processos e ferramentas usados para fazer backup adequado de informações críticas
com uma metodologia comprovada para recuperação oportuna do mesmo.
9. Avaliação de habilidades de segurança Para todas as funções funcionais na organização (priorizando aquelas de missão crítica
e Treinamento Adequado para Preencher para o negócio e sua segurança), identifique o conhecimento específico, habilidades e habilidades
Lacunas necessárias para apoiar a defesa da empresa; desenvolver
e executar um plano integrado para avaliar, identificar lacunas e remediar por meio de políticas,
planejamento organizacional, treinamento e conscientização
programas.
39 | Siga os Dados
10. Configurações seguras para Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração de
Dispositivos de rede segurança dos dispositivos de infraestrutura de rede usando um rigoroso gerenciamento de
configuração e processo de controle de alterações para
impedir que invasores explorem serviços e configurações vulneráveis.
11. Limitação e Controle de Gerenciar (rastrear/controlar/corrigir) o uso operacional contínuo dos portos,
Portas de rede protocolos e serviços em dispositivos de rede para minimizar
janelas de vulnerabilidade disponíveis para invasores.
12. Uso controlado de Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso,
Privilégios Administrativos atribuição e configuração de privilégios administrativos em computadores, redes e
aplicativos.
13. Defesa de Limite Detectar/Prevenir/Corrigir o fluxo de redes de transferência de informações de
diferentes níveis de confiança com foco em dados prejudiciais à segurança.
14. Manutenção, Monitoramento e Colete, gerencie e analise logs de auditoria de eventos que podem ajudar a detectar,
Análise de registros de auditoria entender ou se recuperar de um ataque.
15. Acesso controlado baseado em Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir

a necessidade de saber acesso a ativos críticos (por exemplo, informações, recursos, sistemas)
de acordo com a determinação do formato de quais pessoas, computadores,
e aplicativos têm necessidade e direito de acessar esses ativos críticos
com base em uma classificação aprovada.
16. Monitoramento de contas e Gerencie ativamente o ciclo de vida das contas do sistema e do aplicativo — sua criação,
Ao controle uso, inatividade e exclusão — para minimizar
oportunidades para os invasores aproveitá-los.
17. Proteção de Dados Os processos e ferramentas usados para evitar a exfiltração de dados, mitigar os
efeitos dos dados exfiltrados e garantir a privacidade e a integridade dos

informação sensível.
18. Resposta a Incidentes e Proteger as informações da organização, bem como sua reputação,
Gerenciamento desenvolver e implementar uma infraestrutura de resposta a incidentes (por exemplo,
planos, papéis definidos, treinamento, comunicações, supervisão de gerenciamento)
para descobrir rapidamente um ataque e, em seguida, efetivamente conter o
dano, erradicando a presença do atacante e restaurando a integridade
da rede e dos sistemas.
19. Engenharia de Rede Segura Torne a segurança um atributo inerente da empresa, especificando, projetando e
incorporando recursos que permitem operações de sistemas de alta confiança enquanto
negam ou minimizam oportunidades para invasores.
20. Testes de Penetração e Vermelho Teste a força geral das defesas de uma organização (a tecnologia,
Exercícios em Equipe os processos e as pessoas) simulando os objetivos e ações
de um atacante.
40 | Siga os Dados
Implementar todos os 20 controles de segurança pode ser muito caro e requer equipes dedicadas para
operações, monitoramento, resposta e manutenção. Uma grande empresa ou organização deve ter a
recursos para implementar todos eles, mas a maioria das pequenas empresas só pode se dar ao luxo de implementar um subconjunto do
controles. Os “Controles Críticos de Segurança” fornecem um conjunto abrangente de diretrizes e implementações
até mesmo um subconjunto deles ajudará bastante na prevenção de violações de dados.
Os fornecedores de software de segurança oferecem pacotes agrupados para pequenas empresas que incluem soluções antimalware,
antiphishing e de filtragem da Web. Eles são fáceis de configurar, requerem administração mínima e oferecem excelente segurança pronta para
uso. Alguns fornecedores também incluem controle de dispositivos, prevenção contra perda de dados (DLP),
gerenciamento de patches e soluções de controle de aplicativos em seus pacotes para pequenas empresas. Windows® vem
com um firewall de software integrado fácil de configurar. A maioria dos roteadores sem fio vem com firewalls de hardware integrados. Todas
essas tecnologias funcionam para proteger uma empresa contra violações de dados.
Outra tecnologia importante que todas as empresas ou organizações devem considerar implementar é o disco e o dispositivo
criptografia. Observamos que a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.) representam um grande
risco de comprometimento de dados. A criptografia de disco e dispositivo fará com que os dados no roubado
dispositivos inúteis para todos, exceto para os criminosos mais engenhosos.
Detecte ataques internos, assim como ataques externos

Insiders são indivíduos confiáveis ou pessoas de autoridade com privilégios de acesso que roubam dados. Eles podem ser
motivados por dinheiro, ideologias, coerção e seus egos. Mais de um desses motivos são frequentemente
colocar em jogo. Lidar com ameaças internas é uma tarefa difícil. Em termos gerais, prevenção e mitigação
as técnicas podem ser agrupadas em duas categorias—técnicas e não técnicas33.
As etapas técnicas para evitar ataques internos usam as melhores práticas de segurança. Ataques internos devem ser concedidos
o mesmo nível de priorização dos ataques externos. Assim como os ataques externos, os ataques internos não podem ser evitados
e por isso precisam ser detectados o mais rápido possível. Atividades de monitoramento e registro, como quais dados
está se movendo dentro de uma rede pode ser usado para detectar comportamentos potencialmente suspeitos. O princípio chave da
defesa é assumir compromisso. Isso também inclui a identificação de insiders comprometidos. Acesso adequado
controles devem ser implementados para garantir que os funcionários não possam acessar informações que não
necessidade para as suas funções do dia-a-dia. As credenciais dos funcionários que saem das organizações devem ser
imediatamente desativado para evitar vazamentos de segurança.
Meios não técnicos de segurança são igualmente eficazes na prevenção de ameaças internas. descontentamento dos funcionários
aumenta os riscos que os ataques internos representam. Boas práticas de gestão para lidar com situações delicadas, reconhecer e recompensar
os funcionários e cuidar do bem-estar dos funcionários ajudam a difundir o potencial
ameaças internas. Em poucas palavras, funcionários felizes têm menos probabilidade de se voltar contra seus empregadores.
41 | Siga os Dados
Legislação sobre violação de

dados nos EUA
Como o custo médio de uma violação de dados aumenta para US$ 201 por registro34, é uma necessidade econômica
ter uma estrutura legal sólida para proteger as vítimas de violação de dados e os indivíduos afetados. NÓS
empresas sediadas são vítimas frequentes de violações de dados, mas não há padrões federais em vigor que
fornecer um conjunto uniforme de regras que regem os procedimentos de notificação35. Em vez disso, 47 estados dos EUA, o Distrito de
Columbia, Guam, Porto Rico e as Ilhas Virgens Americanas promulgaram suas próprias legislações, exigindo
entidades privadas ou governamentais para enviar notificações de violações de segurança36.
A Califórnia promulgou a primeira lei de notificação de violação de dados em 2002, na qual outros estados se basearam.
Isso explica por que há tantos incidentes de violação de dados relatados na Califórnia. Em geral, a notificação
as leis exigem que as empresas informem os indivíduos afetados em tempo hábil sobre o comprometimento de
seus dados confidenciais assim que uma violação é descoberta. Alguns estados também exigem que o Procurador do Estado
Geral ou uma agência de relatórios do consumidor seja notificada. Existem variações nas leis de notificação entre os estados.
Alguns estados exigem notificação do consumidor sempre que ocorre uma violação, enquanto outros exigem notificação
somente quando houver risco de uso indevido de dados comprometidos. Alguns estados permitem um atraso de notificação
período, aguardando uma investigação, enquanto outros exigem que as notificações sejam enviadas dentro de um período definido de
tempo. A empresa que descumprir as leis de notificação pode estar sujeita a penalidades civis aplicadas
pela Procuradoria-Geral da República.
Algumas leis estaduais de notificação de violação de dados existem há uma década e os legisladores estão em processo de
apertando-os e expandindo-os38. A maioria deles é reativa, mas alguns também têm requisitos proativos
(requer criptografia de registro, planos de resposta para violações de dados, exercícios periódicos para testar planos de resposta,
etc). O principal problema de cada estado ter sua própria lei de notificação de violação de dados é que os requisitos
variam de estado para estado e podem, às vezes, ser conflitantes. Empresas que operam em vários estados ou
em todo o país precisam cumprir várias leis de notificação de violação de dados, o que aumenta a complexidade
lidar com um incidente. Ter um padrão federal pode simplificar esse processo.
É incorreto afirmar que não existem leis federais de notificação de violação de dados. Leis especializadas existem, mas uma
padrão universal de notificação de violação de dados ainda está faltando. Dependendo do tipo de organização e dados
envolvidos, leis federais especializadas podem ser aplicadas36:
42 | Siga os Dados
• A “Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA)” impõe requisitos sobre o
setor de saúde para notificar os pacientes afetados se seus registros de saúde foram comprometidos.
• A “Lei Gramm-Leach-Bliley” exige que as instituições financeiras notifiquem os clientes sobre uma violação de dados.
• Os regulamentos da Comissão de Valores Mobiliários (SEC) e a “Lei Sarbanes-Oxley” impõem certas
obrigações das empresas de capital aberto em caso de violação de dados.
A Casa Branca propôs recentemente “A Lei de Proteção e Notificações de Dados Pessoais” como parte dos esforços do governo Obama
para fortalecer a segurança cibernética dos EUA37, 38. Essa lei proposta define o seguinte como dados confidenciais:
“(1) Nome e sobrenome de um indivíduo ou inicial do nome e sobrenome em combinação com quaisquer dois
dos seguintes elementos de dados:
(A) Endereço residencial ou número de telefone;
(B) Nome de solteira da mãe;
(C) Mês, dia e ano de nascimento;
(2) Um número não truncado do Seguro Social, número da carteira de habilitação, número do passaporte ou
número de registro de estrangeiro ou outro número de identificação exclusivo emitido pelo governo;
(3) Dados biométricos exclusivos, como impressão digital, impressão de voz, retina ou imagem de íris ou qualquer
outra representação física única;
(4) Um identificador de conta exclusivo, incluindo um número de contabilidade financeira ou crédito ou débito
número do cartão, número de identificação eletrônica, nome de usuário ou código de roteamento;
(5) Um nome de usuário ou endereço de correio eletrônico, em combinação com uma senha ou segurança
pergunta e resposta que permitiria o acesso a uma conta online; ou
(6) Qualquer combinação dos seguintes elementos de dados:
(A) Nome e sobrenome de uma pessoa ou inicial e sobrenome de uma pessoa;
(B) Um identificador de conta exclusivo, incluindo um número de conta financeira ou crédito ou débito
número do cartão, número de identificação eletrônica, nome de usuário ou código de roteamento; ou
(C) Qualquer código de segurança, código de acesso ou senha ou código-fonte que possa ser usado
para gerar tais códigos ou senhas.
O ato proposto também define os termos de notificação e as penalidades às empresas ou
as organizações enfrentarão se não notificarem a ocorrência de uma violação de dados.”
43 | Siga os Dados
Nos últimos dois anos, cinco projetos de lei de notificação de violação de dados diferentes foram apresentados ao Senado dos EUA, mas
nenhum deles recebeu apoio suficiente para aprovação39. Uma infinidade de razões pode estar por trás desses
falhas, incluindo grupos de lobby, avaliação de tecnologia complexa, definições pouco claras de dados confidenciais
e violações de dados e preocupações com a privacidade.
A proposta de “Lei de Notificação e Proteção de Dados Pessoais” visa abordar o roubo de informações confidenciais
dados que podem prejudicar indivíduos, mas não roubo de propriedade intelectual, que pode afetar as operações comerciais,
avaliação da empresa e, possivelmente, segurança nacional. Os incidentes de roubo de propriedade intelectual também devem exigir
divulgação no interesse do público? O ato proposto anula quaisquer leis mais rígidas de notificação de violação de dados em nível estadual?
Acrescenta mais um nível de complexidade ao processo? No fim do dia,
as empresas não precisam de legislações para implementar estratégias eficazes de prevenção de violação para proteger
contra vazamento de dados sensíveis. As estratégias de prevenção de violação de dados devem ser consideradas parte integrante
das operações comerciais diárias.
44 | Siga os Dados
As violações de dados vieram para ficar

As violações de dados tornaram-se parte das notícias diárias. No momento em que este livro foi escrito, vários incidentes proeminentes de violação de dados
foram divulgados publicamente. Eles atraíram muita atenção da mídia e levaram todos a perguntar:
“Quão seguros estão nossos dados?” Os incidentes que recentemente chegaram às manchetes incluem:
• O grupo hacktivista, Anonymous, invadiu computadores do US Census Bureau e vazou dados de funcionários40.
• A equipe de hackers - os criadores do software de vigilância - foi hackeada e mais de 400 GB de dados foram
vazou15.
• 21,5 milhões de americanos tiveram seus números de seguro social e outros dados confidenciais roubados no
“segunda” violação do banco de dados de verificação de antecedentes do OPM41.
• Hackers roubaram informações detalhadas sobre 104.000 contribuintes do Internal Revenue Service (IRS)
website explorando uma ferramenta online42.
• Os hackers invadiram a enorme rede hospitalar da Universidade da Califórnia, Los Angeles (UCLA) para
acessar computadores que armazenavam registros sensíveis de 4,5 milhões de pessoas43.
• Ashley Madison—um serviço de namoro online que atende exclusivamente a casos extraconjugais—foi hackeado,
resultando no roubo de 37 milhões de registros de membros do site44.
• Os sites de serviço de fotos on-line do Walmart Canada, CVS, Costco e Sam's Club foram comprometidos por meio de um
fornecedor terceirizado45, 46.
O número de divulgações de violação de dados envolvendo grandes varejistas está aumentando, o que só pode significar que
empresas ou organizações menores também estão sendo implacavelmente visadas, mesmo que não estejam fazendo
manchetes. No entanto, o dano causado aos indivíduos comuns, independentemente de suas sensibilidades
dados foram roubados de uma grande corporação ou de uma pequena loja de esquina, ainda é o mesmo - eles enfrentam sérios riscos
de identidade, financeira e outros tipos de fraude.
45 | Siga os Dados
Na realidade, qualquer empresa ou organização que processe e/ou armazene dados confidenciais é uma possível violação
alvo. Enquanto os dados confidenciais puderem ser monetizados por meio de fraudes e outros crimes, as violações de dados são
vai acontecer e com frequência crescente no futuro. Do ponto de vista de uma empresa ou organização
de vista, as violações de dados são inevitáveis. Nenhuma defesa é inexpugnável contra adversários determinados. Tendo
processos eficazes de alerta, contenção e mitigação são críticos. Nos EUA, os padrões federais precisam ser implementados para fornecer
um conjunto uniforme de regras que regem os procedimentos de notificação de violação de dados.
Plataformas de computação móvel, como telefones, tablets, wearables e outros dispositivos, bem como os aplicativos que
executados neles estão rapidamente se tornando as principais plataformas de computação em todo o mundo. O desenvolvimento de aplicativos é constantemente
tornando-se mais simples. Aplicativos de compra, venda e marketing ficaram mais fáceis por meio de aplicativos on-line estabelecidos
mercados. Os aplicativos oferecem suporte a modelos de receita lucrativos para os desenvolvedores. Todo o ecossistema tem
foi concebido para eliminar as barreiras à entrada no mercado e incentivar o desenvolvimento de novos e inovadores
aplicativos. Tudo isso contribui para a explosão de aplicativos que atendem a todas as atividades imagináveis. Diariamente
os usuários não sabem que dados confidenciais são coletados, processados, armazenados e transmitidos por meio de aplicativos e não
necessariamente de forma segura. Nos próximos anos, aplicativos e dispositivos de computação móvel serão
fadados a se tornarem grandes alvos de violação de dados.
É crucial conscientizar o público sobre os riscos e repercussões do comprometimento de dados confidenciais.
Maior conscientização levará a maior cautela e a pressão aumentará sobre os governos federais
e empresas ou organizações para encontrar soluções eficazes e permanentes.
46 | Siga os Dados
Referências
1. Câmara de compensação de direitos de privacidade. (2015). Sobre a Clearinghouse de Direitos de Privacidade. Último acesso em 3 de julho de 2015,
https://www.privacyrights.org/content/about-privacy-rights-clearinghouse.
2. Marianne Kolbasuk McGee. (5 de maio de 2014). Segurança da Informação em Saúde. “Por que as violações de dados de saúde não são relatadas.”
Acessado pela última vez em 19 de junho de 2015, http://www.healthcareinfosecurity.com/health-data-breaches-go unreported-a-6804.
3. Adam Greenberg. (8 de novembro de 2013). Revista SC. “Mais da metade das violações corporativas não são relatadas, de acordo com estudo.”
Último acesso em 19 de junho de 2015, http://www.scmagazine.com/more-than-half-of-corporate brechas-go-unreported-according-to-study/article/
320252/.
4. Thomas Claburn. (31 de julho de 2008). Leitura Sombria. “A maioria das violações de segurança não são relatadas.” Último acesso em 19 de junho
de 2015, http://www.darkreading.com/attacks-and-breaches/most-security-breaches-go-unreported/d/d id/1070576.
5. ISO/IEC. (2015). “Norma Internacional ISO/IEC 27040.” Último acesso em 28 de agosto de 2015, https://infostore. saiglobal.com/store/
downloadFile.aspx?path=Previews%%205ciso%%205cupdates2015%%205cwk2%%20 5cISO-IEC_27040-2015.PDF.
6. KH Coder [Software de computador]. (2015). Recuperado de http://khc.sourceforge.net/en/.
7. Editor de rede bayesiana da Microsoft [software de computador]. (2010). Obtido em http://research.microsoft.com/
en-us/um/redmond/groups/adapt/msbnx/.
8. Explore o Analytics [Software Online]. (2015). Obtido em https://www.exploreanalytics.com/.
9. Verizon. (2015). “Relatório de investigações de violação de dados de 2015.” Último acesso em 4 de julho de 2015, http://www. verizonenterprise.com/
resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf.
10. Brian Krebs. (10 de outubro de 2013). Krebs em Segurança. “Nordstrom encontra skimmers de caixas registradoras.” Acessado pela última vez em
9 de julho de 2015, http://krebsonsecurity.com/2013/10/nordstrom-finds-cash-register-skimmers/.
11. Real Polícia Montada do Canadá. (2013). “Roubo de Identidade e Fraude de Identidade.” Último acesso em 9 de julho de 2015,
http://www.rcmp-grc.gc.ca/scams-fraudes/id-theft-vol-eng.htm.
12. Selo de Marca. (fevereiro de 2015). Feira da Vaidade. “Uma olhada exclusiva na saga de hacking da Sony.” Último acesso em 14 de julho de 2015,
http://www.vanityfair.com/hollywood/2015/02/sony-hacking-seth-rogen-evan-goldberg.
13. Thomas Fox-Brewster. (6 de julho de 2015). Forbes. “Violação da equipe de hackers expõe inseguranças de um negociante de vigilância controverso.”
Último acesso em 14 de julho de 2015, http://www.forbes.com/sites/thomasbrewster/2015/07/06/ hacking-team-hacked/.
47 | Siga os Dados
14. Jim Gogolinski. (9 de dezembro de 2015). Blog de Inteligência de Segurança da TrendLabs. “Ameaças Internas 101: A Ameaça Interior.”
Acessado pela última vez em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/insider ameaças-101-the-
threat-within/.
15. Trend Micro. (30 de junho de 2015). Blog de Inteligência de Segurança da TrendLabs. “Lordfenix: brasileiro de 20 anos lucra com malware
bancário.” Último acesso em 20 de julho de 2015. http://blog.trendmicro.com/trendlabs-security intelligence/lordfenix-20-year-old-
brazilian-makes-profit-off-banking-malware/.
16. Trend Micro. (13 de abril de 2015). Blog de Inteligência de Segurança da TrendLabs. “Operação de malware PoS de um homem captura
22.000 detalhes de cartão de crédito no Brasil.” Último acesso em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs security-
intelligence/fighterpos-fighting-a-new-pos-malware-family/.
17. Ryan Flores, Lord Remorin, Mary Yambao e Don Ladores. (16 de junho de 2015). Notícias de segurança da Trend Micro.
“Perfurando o HawkEye: como os cibercriminosos nigerianos usaram um keylogger simples para atacar pequenas e médias empresas.”
Último acesso em 20 de julho de 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/hawkeye
nigerian-cybercriminals-used-simple-keylogger-to-prey-on- sms.
18. Trend Micro. (26 de maio de 2015). Blog de Inteligência de Segurança da TrendLabs. “Ataque dos cibercriminosos solo – Frapstar no
Canadá.” Último acesso em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/attack of-the-solo-
cybercriminals-frapstar-in-canada/.
19. Tom Heyden. (28 de maio de 2015). Revista BBC News. “Como a conta Uber do meu pai foi invadida?” Durar
acessado em 20 de julho de 2015, http://www.bbc.com/news/magazine-32900600.
20. Fernando Mercês. (18 de novembro de 2014). Inteligência de segurança da Trend Micro. “O mercado clandestino brasileiro: o mercado
para aspirantes a criminosos cibernéticos?” Último acesso em 20 de julho de 2015, http://www.trendmicro.ca/cloud content/us/pdfs/
security-intelligence/white-papers/wp-the-brazilian-underground-market.pdf.
21. Ciarán Hancock. (29 de abril de 2015). The Irish Times. “Ryanair é vítima de hacking de € 4,6 milhões via banco chinês.” Acessado pela
última vez em 20 de julho de 2015, http://www.irishtimes.com/news/crime-and-law/ryanair-falls-victim-to-4-6m-hacking-scam-via-chinese-
bank-1.2192444.
22. Numaan Huq. (setembro de 2014). Inteligência de segurança da Trend Micro. “PoS RAM Scraper Malware: passado, presente e futuro.”
Último acesso em 6 de julho de 2015, http://www.trendmicro.com/cloud-content/us/pdfs/security intelligence/white-papers/wp-pos-ram-
scraper-malware.pdf.
23. Gerri Detweiler. (19 de setembro de 2013). Credit. com. “O que significa FICO? O que é uma pontuação FICO?” Último acesso em 21 de
julho de 2015, http://www.credit.com/credit-scores/what-does-fico-stand-for-and-what-is-a-fico credit-score/.
24. Fahmida Y. Rashid. (2 de junho de 2011). eSemana. “Northrop Grumman, L-3 Communications hackeado por meio de tokens RSA
SecurID clonados.” Acessado pela última vez em 21 de julho de 2015, http://www.eweek.com/c/a/Security/Northrop-Grumman-L3-
Communications-Hacked-via-Cloned-RSA-SecurID-Tokens-841662.
25. Mary Pat Flaherty, Jason Samenow e Lisa Rein. (12 de novembro de 2014). Washington Post. “Chinese Hack EUA Sistemas
Meteorológicos, Rede de Satélites.” Último acesso em 21 de julho de 2015, http://www.washingtonpost.com/local/chinese-hack-us-
weather-systems-satellite-network/2014/11/12/bef1206a-68e9-11e4-b053-65cea7903f2e_ story. html.
48 | Siga os Dados
26. Rachelle Younglai. (23 de junho de 2015). O Globo e o Correio. “Pequena empresa canadense de ouro sofre invasão de computador.”
Último acesso em 21 de julho de 2015, http://www.theglobeandmail.com/report-on-business/industry-news/energy and-resources/small-
canadian-gold-firm-suffers-computer-hack/article25083416/.
27. Lee Johnstone. (24 de junho de 2015). CTRLBOX.COM. “Detour Gold Corporation (TSX: DGC) Análise de vazamento de dados de junho
de 2015.” Último acesso em 21 de julho de 2015, https://www.ctrlbox.com/docs/reports/Detour-Gold-Breach.pdf.
28. Instituto SANS. (2014). SANS. “Controles críticos de segurança”. Último acesso em 22 de julho de 2015, https://www.sans.org/critical-
security-controls/.
29. Instituto SANS. (2014). SANS. “Controles críticos de segurança: uma breve história”. Último acesso em 22 de julho de 2015, https://
www.sans.org/critical-security-controls/history.
30. Conselho de Segurança Cibernética. (2014). “Controles críticos de segurança”. Último acesso em 22 de julho de 2015,
http://www.counciloncybersecurity.org/critical-controls/.
31. Instituto SANS. (2014). SANS. “Controles críticos de segurança para uma ciberdefesa eficaz.” Último acesso em 22 de julho
2015, http://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf.
32. Conselho de Segurança Cibernética. (2014). “Os controles críticos de segurança para uma ciberdefesa eficaz.” Último acesso em 22 de
julho de 2015, https://ccsfiles.blob.core.windows.net/web-site/file/bb820ab03db7430abac40451ba4d3bb7/ CSC-MASTER-
VER5.1-10.7.2014.pdf.
33. Instituto Ponemon e IBM. (maio de 2014). “Estudo de custo de violação de dados de 2014: análise global.” Acessado pela última vez em
24 de junho de 2015, http://www-935.ibm.com/services/multimedia/SEL03027USEN_Poneman_2014_Cost_of_Data_Breach_Study.pdf.
34. Christopher J. Cox e David R. Singh. (2015). Bem. “Pesquisa de Privacidade de Dados sobre Leis de Notificação de Violação de
Segurança 2015.” Último acesso em 23 de junho de 2015, www.weil.com/~/media/files/pdfs/security_breach_notification_broch_
en_digital_2015_v2.pdf.
35. Conferência Nacional dos Legislativos Estaduais. (11 de junho de 2015). “Leis de Notificação de Violação de Segurança.” Último acesso
em 23 de junho de 2015, http://www.ncsl.org/research/tecommunications-and-information-technology/security exploit-notification-
laws.aspx.
36. Rodika Tollefson. (22 de junho de 2015). Fox Negócios. “Quais são as leis de notificação de violação de dados em seu estado?”
Último acesso em 23 de junho de 2015, http://www.foxbusiness.com/technology/2015/06/22/what-are-data-breach notification-laws-in-
your-state/.
37. A Casa Branca. (2015). “A Lei de Notificação e Proteção de Dados Pessoais.” Último acesso em 23 de junho de 2015, https://
www.whitehouse.gov/sites/default/files/omb/legislative/letters/updated-data-breach-notification.pdf.
38. Peter Carey e Kenneth Wainstein. (12 de fevereiro de 2015). Cadwalader. “A Lei de Proteção e Notificação de Dados Pessoais da
Administração Obama: Uma Análise.” Último acesso em 23 de junho de 2015, http://www.cadwalader. com/resources/clients-friends-
memos/the-obama-administrations-personal-data-notification-and-protection act-an-analysis.
39. Meena Harris. (25 de fevereiro de 2014). Dentro da privacidade. “Comparação de cinco projetos de lei de violação de dados atualmente
pendentes no Senado.” Acessado pela última vez em 18 de setembro de 2015, http://www.insideprivacy.com/united-states/congress/
comparation-of-five-data-breach-bills-currently-pending-in-the-senate/.
49 | Siga os Dados
40. David Gilbert. (23 de julho de 2015). Tempos de Negócios Internacionais. “Anonymous invade o US Census Bureau por causa do acordo
TTIP, vazando dados de funcionários online.” Último acesso em 23 de julho de 2015, http://www.ibtimes.co.uk/onymous-hacks-us-census-
bureau-over-ttip-agreement-leaking-employee-details-online-1512244.
41. Kate Vinton. (9 de julho de 2015). Forbes. “21,5 milhões de americanos foram comprometidos na segunda violação do OPM.” Acessado
pela última vez em 23 de julho de 2015, http://www.forbes.com/sites/katevinton/2015/07/09/21-5-million-americans-were compromisso-
in-opms-second-breach/.
42. Kenneth R. Harney. (2 de junho de 2015). Washington Post. “Violação de dados do IRS pode ser preocupante para quem busca uma
hipoteca.” Acessado pela última vez em 23 de julho de 2015, http://www.washingtonpost.com/realestate/irs-was told-in-2011-that-its-
security-and-privacy-controls-were-inadequate/2015/06/01/ de42884a-0886-11e5-95fd d580f1c5d44e_story.html.
43. José Pagliery. (17 de julho de 2015). Dinheiro da CNN. “UCLA Health hackeado, 4,5 milhões de vítimas.” Último acesso em 23 de julho
de 2015, http://money.cnn.com/2015/07/17/technology/ucla-health-hack/.
44. Cassandra Fairbanks. (22 de julho de 2015). O Independente. “Ashley Madison Hack: 'De todas as violações de dados, esta é
provavelmente a mais engraçada.'” Último acesso em 23 de julho de 2015, http://www.independent.co.uk/voices/comment/ashley
madison-hack-out- de-todas-as-violações-de-dados-que-aconteceram-esta-é-provavelmente-a-mais-engraçada-10407666.html.
45. Thomson Reuters. (21 de julho de 2015). CBC News. “Costco se junta ao Walmart para fechar loja de fotos online após possível violação
de dados.” Último acesso em 23 de julho de 2015, http://www.cbc.ca/news/technology/costco-joins walmart-in-shutting-online-photo-
store-after-possible-data-breach-1.3161523.
46. A imprensa canadense. (14 de julho de 2015). Notícias 1130. “Possível violação de dados no Walmart Photo Site.” Último acesso em 30
de julho de 2015, http://www.news1130.com/2015/07/14/possible-data-breach-on-walmart-photo-site/.
50 | Siga os Dados
Criado por:
Centro Global de Suporte Técnico e P&D da TREND MICRO
TREND MICROTM
A Trend Micro Incorporated, líder global em segurança em nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções de segurança de conteúdo de Internet e gerenciamento
de ameaças para empresas e consumidores. Pioneiros em segurança de servidores com mais de 20 anos de experiência, oferecemos serviços de primeira linha para clientes, servidores e
segurança baseada em nuvem que atende às necessidades de nossos clientes e parceiros; detém novas ameaças mais rapidamente; e protege os dados em ambientes físicos, virtualizados e em nuvem.
Alimentados pela infraestrutura Trend Micro™ Smart Protection Network™, nossa tecnologia, produtos e serviços de segurança de computação em nuvem líderes do setor interrompem as ameaças onde
elas surgem, na Internet, e contam com o suporte de mais de 1.000 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite
www.trendmicro.com.
©2015 da Trend Micro, Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são marcas comerciais ou marcas registradas da
Trend Micro, Incorporated. Todos os outros nomes de produtos ou empresas podem ser marcas comerciais ou marcas registradas de seus proprietários.

Data

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Data

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Dissecando violações de dados e

Nós somos Huq

Um artigo de pesquisa da TrendLabsSM

AVISO LEGAL MICRO DA TREND

As informações aqui fornecidas são apenas para fins informativos e

educacionais. Não se destina e não deve ser interpretado como

situações e podem não refletir a situação mais atual.

Nada contido neste documento deve ser invocado ou executado sem o

benefício de aconselhamento jurídico com base nos fatos e circunstâncias

As traduções de qualquer material para outros idiomas são

concebido apenas como uma conveniência. A precisão da tradução é

não garantido nem implícito. Se surgir alguma dúvida relacionada à

precisão de uma tradução, consulte a versão oficial do documento no

discrepâncias ou diferenças criadas na tradução são Uma década de violações

Embora a Trend Micro faça esforços razoáveis para incluir

informações precisas e atualizadas aqui contidas, Trend Micro

não oferece garantias ou representações de qualquer tipo como

à sua precisão, atualidade ou integridade. Você concorda

e o conteúdo do mesmo é por sua conta e risco. Trend Micro

Nem a Trend Micro nem qualquer parte envolvida na criação, produção ou

entrega deste documento será responsável por qualquer consequência,

perda ou dano, incluindo direto,

indireta, especial, consequente, perda de lucros comerciais,

ou danos especiais, decorrentes do acesso, 38

deste documento, ou quaisquer erros ou omissões no conteúdo

disso. O uso dessas informações constitui aceitação para

Neste documento, também compartilharemos os controles de segurança críticos que as empresas

Nossa fonte de dados

A Privacy Rights Clearinghouse (PRC) é uma corporação sem fins lucrativos

A PRC publica a “Cronologia de violações de dados, violações de segurança

O que é uma violação de dados?

é importante definir o termo. A Organização Internacional de Normalização (ISO)/Internacional

A Comissão Eletrotécnica (IEC) 27040 define uma violação de dados como:

“Comprometimento da segurança que leve à destruição acidental ou ilícita, perda,

alteração, divulgação não autorizada ou acesso a dados protegidos transmitidos, armazenados ou

processado de outra forma5 .”

Essa dessensibilização pode ser o produto de vários fatores:

• Há uma sobrecarga de artigos de notícias diários sobre violações de dados.

• As más consequências do roubo de dados confidenciais não são sentidas instantaneamente.

• Há uma falta de compreensão das repercussões do roubo de dados confidenciais.

Nova Iorque 8,7%

Carolina do Norte 2,8%

Distrito da Colombia 2,5%

Nova Jersey 2,1%

Figura 1: Os 20 principais estados dos EUA que relataram violações de dados

Nota: Se o impacto para o negócio ou organização for multiestado,

violação é descoberta, as primeiras perguntas normalmente feitas são:

• Quais dados ou registros foram roubados?

• Há quanto tempo ocorre a violação?

• Como os atacantes contornaram as defesas?

• Quão profundamente os invasores penetraram na rede?

combate a violações ativas.

casos, as violações não foram intencionais.

Uma década de violações

os tipos de registro comprometidos.

• Dados financeiros: informações bancárias, de seguros e de cobrança, etc.

• Dados de saúde: Registros de hospitais e consultórios médicos, seguro médico, etc.

• Dados educacionais: escola, faculdade, universidade ou registros relacionados.

• Outros: Propriedade intelectual e inteligência sobre uma organização.

Figura 2: divulgações de incidentes de violação de dados de 2005 a abril de 2015

organizações para relatar incidentes.

line, levando a um aumento de ataques de hackers ou malware.