Escolar Documentos
Profissional Documentos
Cultura Documentos
Acompanhe os dados:
aplicáveis a todos
aviso prévio.
fins de execução.
42
Legislação sobre violação de
dados nos EUA
45
As violações de dados
vieram para ficar
Machine Translated by Google
“Um maciço hack atrás do outro,” esta declaração provavelmente descreveria melhor o que aconteceu
nos últimos 10 anos. As violações de dados tornaram-se um status quo, um fato alarmante, mas não
surpreendente, considerando como os invasores continuam encontrando maneiras de se infiltrar nas redes
e roubar informações.
Essas violações são prejudiciais. Você só tem que olhar para os últimos meses para a prova.
Em fevereiro, a seguradora Anthem anunciou uma violação que expôs milhões de seus registros
confidenciais. A invasão do Office of Personnel Management (OPM) dos Estados Unidos (EUA) em
junho colocou em risco 21,5 milhões de funcionários e candidatos do governo do país. Mais
recentemente, em agosto, o hack de Ashley Madison difamou publicamente cerca de 32 milhões de
sua clientela. Esses incidentes não são motivo de riso, especialmente porque colocam reputações e
vidas reais em jogo.
Muito já foi dito sobre violações - seu impacto nas vítimas, seu custo e outros enfeites -, mas pouco
foco é colocado nos dados roubados, para onde vão, que outras informações podem ser extraídas e
como os invasores podem usar isto. Este trabalho visa cobrir isso.
Vamos acompanhar os dados. Graças ao banco de dados de violações de dados da Privacy Rights
Clearinghouse (PRC), pudemos examinar o que foi roubado, extrair probabilidades e investigar
atividades relacionadas no submundo do crime cibernético.
Por meio das análises, observamos vários fatos interessantes que dissipam mitos comuns sobre
violações de dados, o que pode ajudar as organizações a identificar um curso de ação que melhor
proteja suas informações. Aqui estão apenas algumas de nossas descobertas mais notáveis:
• Hacking ou malware estiveram por trás de 25% dos incidentes de violação de dados de 2005
a abril de 2015.
• Nos últimos cinco anos, os incidentes de violação de dados de cartões de pagamento aumentaram
169%.
• O setor de saúde foi o mais afetado por violações de dados, seguido pelo
governo e varejo.
• As informações de identificação pessoal (PII) foram o tipo de registro mais roubado. Financeiro
os dados ficaram em segundo lugar.
• Além dos despejos usuais de cartões de crédito, contas bancárias e PII – cujos preços no submundo
se estabilizaram –, havia uma proeminência de anúncios vendendo Uber, PayPal e contas de
pôquer.
e assim por diante dominam as notícias com frequência cada vez maior. Esta é apenas a ponta do iceberg, com o
a grande maioria dos incidentes permanece não relatada e não divulgada2, 3, 4. Para entender melhor essas violações,
Uma ampla gama de dados confidenciais está comprometida em todos os setores, desde empresas, grandes e pequenas,
assim como indivíduos. Isso inclui PII, financeiro, saúde, educação, dados de cartão de pagamento, credenciais de login,
propriedade intelectual e outros. Nas notícias, as violações de dados são quase sempre atribuídas a hacking ou
ataques de malware. Embora desempenhem um papel importante, eles não respondem por todos os incidentes. Outros métodos de violação
freqüentemente observados incluem ataques internos, roubo ou perda e divulgações não intencionais.
Os perpetradores que comprometem dados confidenciais referem-se a um grupo diversificado que inclui insiders, indivíduos
criminosos, bem como grupos organizados e patrocinados pelo Estado. Dados roubados são comumente usados para cometer
crimes como fraude financeira, roubo de identidade e propriedade intelectual, espionagem, vingança, chantagem e
extorsão.
Como as violações de dados se tornaram um assunto cotidiano, as pessoas podem ter se tornado insensíveis a ter
seus dados pessoais, financeiros, de saúde, educação e outros dados comprometidos e vendidos em mercados criminosos.
• Os dados confidenciais roubados não são tão tangíveis quanto, por exemplo, um celular roubado.
5 | Siga os Dados
Machine Translated by Google
A penalidade eventual de ter dados confidenciais roubados é alta e algumas vítimas (de roubo de identidade e
fraude, por exemplo) sofrem por anos sem culpa própria. As leis de divulgação de violação de dados existem
nos EUA. Mas eles fornecem a proteção necessária para proteger verdadeiramente o indivíduo comum? As
empresas estão cumprindo-as e divulgando incidentes de violação de dados quando eles ocorrem?
Califórnia 14,7%
Texas 6,4%
Flórida 5,4%
Illinois 4,1%
Ohio 3,5%
Geórgia 3,4%
Massachusetts 3,3%
Pensilvânia 3,2%
Virgínia 2,5%
Indiana 2,5%
Colorado 2,4%
Washington 2,3%
Maryland 2,0%
Connecticut 1,9%
Tennessee 1,8%
Michigan 1,8%
Outros 22,7%
6 | Siga os Dados
Machine Translated by Google
Violações de dados são eventos complexos. Qualquer empresa ou organização que processe e/ou armazene informações confidenciais
data é um possível alvo de violação. Mesmo que as organizações tenham um plano de resposta a incidentes para lidar com dados
violações, descobrir a extensão do dano causado e gerenciar a resposta ainda pode ser uma tarefa desafiadora. Depois que uma
Estas são perguntas difíceis de responder. Os incidentes precisam ser avaliados rapidamente, pois o tempo é crítico quando
É quase impossível prever se, por que, quando, onde e como uma empresa ou organização será violada.
Os métodos de violação e os dados direcionados variam entre setores e até mesmo empresas ou organizações dentro
a mesma indústria. As violações de dados geralmente são premeditadas, embora também ocorram violações acidentais de dados.
Algumas violações de dados são descobertas em questão de horas ou dias, enquanto outras levam meses ou anos.
Na maioria dos incidentes de violação de dados, os dados roubados foram usados para fins criminosos, enquanto em alguns
7 | Siga os Dados
Machine Translated by Google
2005 a abril de 2015. Os “Tipos de organização” originais da PRC foram expandidos para incluir uma ampla gama de
indústrias, a fim de fornecer uma visão refinada dos perfis das vítimas. Cada entrada foi analisada para determinar
• PII: nomes, endereços, números de CPF, datas de nascimento, números de telefone, etc.
• Cartões de pagamento: crédito, débito, crédito com a marca da loja e cartões-presente pré-pagos.
• Credenciais: Credenciais de login para eBay, PayPal, e-mail baseado na Web, banco on-line e
outras contas.
• Desconhecido: em muitos casos, os investigadores não conseguiram determinar o que foi roubado.
Os dados coletados foram analisados usando ferramentas que incluem KH Coder6 , MSBNx7 , e Explorar o Analytics8 .
Na realidade, apenas uma fração de todos os incidentes de violação de dados é realmente relatada. Um aumento no número de
incidentes relatados indicam fortemente que o volume total de violações de dados também aumentou e vice-versa.
8 | Siga os Dados
Machine Translated by Google
800
400
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
A Figura 2 mostra que o número total de incidentes relatados por ano tem aumentado continuamente desde 2009,
exceto em 2014, quando houve um declínio acentuado. Este aumento pode ter várias explicações plausíveis:
• As leis de notificação de violação de dados foram implementadas por diferentes estados, obrigando empresas e
• À medida que a Internet se expande e novos aplicativos são introduzidos, as empresas aumentam constantemente sua presença on-
• Os criminosos estão monetizando dados roubados com mais facilidade e, portanto, cometendo mais crimes de violação de dados.
A diminuição do número de incidentes reportados em 2014 pode ter marcado o início de uma nova
tendência em que as organizações reprimiram rapidamente as violações de segurança e impediram o vazamento de dados confidenciais
ou empresas e organizações simplesmente não relataram violações. Este artigo coletou relatórios de incidentes apenas até abril de 2015.
Como tal, é muito cedo para tirar conclusões sobre qualquer nova tendência. De acordo com o “Relatório de investigações de violação
de dados de 20159 ” da Verizon, espera-se que o tempo para identificar e responder a um incidente de violação aumente, destacando o
crescente “déficit de detecção” que as empresas enfrentam. No entanto, curiosamente, o gráfico de déficit de detecção de defensores
(Figura 5 na página 6 do relatório da Verizon) mostra que a diferença de déficit entre o tempo para comprometer e o tempo para descobrir
diminuiu de 77% em 2013 para 45% em 2014. Isso foi um declínio significativo e esperançosamente uma nova tendência avançando.
Pode ser um sinal de contenção rápida que reduz o número de incidentes de violação de dados. Além disso, as empresas estão
implementando planos, protocolos, procedimentos e verificações para evitar o vazamento de dados confidenciais, o que também ajuda a
reduzir violações.
9 | Siga os Dados
Machine Translated by Google
Desconhecido 3,2%
Nas notícias, as violações de dados são quase sempre atribuídas a ataques de hackers ou malware. Enquanto estes
os ataques desempenham um grande papel, eles representam apenas um quarto de todos os incidentes relatados. Outros frequentemente
• Vazamento interno: um indivíduo confiável ou autoridade com privilégios de acesso rouba dados.
• Fraude de cartão de pagamento: os dados do cartão de pagamento são roubados usando dispositivos físicos de clonagem.
• Perda ou roubo: unidades portáteis, laptops, computadores de escritório, arquivos e outras propriedades físicas são
perdido ou roubado.
• Divulgação não intencional: por meio de erros ou negligência, dados confidenciais são expostos.
• Desconhecido: em um pequeno número de casos, o método de violação real é desconhecido ou não divulgado.
Entraremos em mais detalhes sobre tipos de registros e combinações de tipos de registros roubados com base em nossa análise
dos dados da PRC em nosso material complementar, “Follow the Data: Analyzing Breaches by Industry”. Os setores de saúde, educação, governo, varejo e
financeiro foram as vítimas mais frequentes de violação de dados. Estudamos cinco conjuntos de dados para cada setor e analisamos os padrões de
dê uma olhada em dois crimes de violação de dados frequentemente observados - violações de dados de cartões de pagamento e
10 | Siga os Dados
Machine Translated by Google
para roubar os dados armazenados na tarja magnética dos cartões de pagamento, opcionalmente clonar cartões e executar cobranças
em contas associadas a cartões. Os criminosos estão roubando fisicamente os cartões de pagamento (cartões de débito e crédito) há algum
• Armar caixas eletrônicos ou bombas de gasolina com painéis falsos que roubam dados
100
50
0
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
11 | Siga os Dados
Machine Translated by Google
Varejo 47,8%
Financeiro 10,2%
Educação 4,8%
Bancário 4,7%
Governo 4,7%
Hospitalidade 3,8%
Serviço 3,3%
Tecnologia 3,2%
Outros 9,3%
Desconhecido 4,0%
Todas essas técnicas exigem acesso físico aos cartões ou aos dispositivos usados para processá-los. Esse
apresenta um grande risco de ser preso. Além disso, skimmers não podem ser prontamente implantados em massa para máxima
eficácia. Portanto, os criminosos recorreram ao uso de software malicioso como raspadores PoS RAM para
roubar dados de cartão de pagamento, principalmente informações de cartão de crédito. Uma variedade de técnicas de infiltração são usadas para
obter entrada inicial e mover-se lateralmente pela rede da vítima para comprometer os servidores PoS.
Olhando para os números de violação de dados de cartões de pagamento, vemos um aumento acentuado de 2010 em diante. Esse
podem ser atribuídos diretamente aos raspadores PoS RAM, que foram desenvolvidos em algum momento entre 2007 e
2008 e ganhou popularidade como uma ferramenta de roubo de dados por volta de 2010. Incidentes de roubo de dados de cartão de pagamento antes
12 | Siga os Dados
Machine Translated by Google
2010 envolveu principalmente criminosos usando dispositivos de clonagem. Os skimmers não desapareceram completamente, mas
os incidentes de roubo de dados de cartões de pagamento hoje em dia são predominantemente feitos usando raspadores de RAM
PoS. Isso se reflete no fato de que os ataques de hacking ou malware foram responsáveis por mais da metade dos cartões de pagamento
O setor de varejo foi a maior vítima de violações de dados de cartões de pagamento, já que a maioria dos cartões de crédito e débito
as transações ocorrem nas lojas. Outras indústrias também foram afetadas. Em poucas palavras, qualquer negócio ou
organização que processa ou armazena dados de cartão de pagamento é uma vítima em potencial.
(nome, endereço, data de nascimento, CPF, etc.) para fins criminais. Fraude de identidade é o
uso enganoso real das informações pessoais roubadas para cometer fraude11. Um criminoso finge ser
outra pessoa (viva ou morta) assumindo falsamente e usando a identidade dessa pessoa para obter acesso a recursos ou serviços,
solicitar cartões de crédito ou empréstimos, registrar contas falsas, arquivar declarações fiscais fraudulentas para coletar descontos e
incidentes registrados quando dados roubados foram usados para cometer roubo de identidade e fraude.
Varejo 15,9%
Governo 13,6%
Financeiro 11,2%
Educação 10,9%
Outros 4,3%
Bancário 3,9%
Serviço 2,7%
Seguro 1,9%
Hospitalidade 1,6%
Tecnologia 1,6%
Manufatura 0,6%
Materiais 0,4%
telecomunicações 0,4%
Transporte 0,4%
13 | Siga os Dados
Machine Translated by Google
Desconhecido 5,0%
PII 28,7%
Financeiro 5,4%
Saúde 4,3%
Outros 9,9%
A maioria dos crimes conhecidos de roubo de identidade e fraude afetou os setores de saúde, varejo, governo, financeiro,
e indústrias de educação. Isso pode ocorrer porque essas indústrias processam e armazenam uma grande quantidade de PII que
podem ser usados para cometer fraude de identidade. Insiders foram os maiores perpetradores em roubo de identidade conhecido e
casos de fraude. Outras grandes ameaças às PII incluem hacking ou ataques de malware e perda ou roubo.
14 | Siga os Dados
Machine Translated by Google
• Pode aparecer após semanas ou meses ou não aparecer nos mercados da Deep Web.
• Quando é vendido, não é explicitamente anunciado como pertencente a uma determinada violação, negócio ou
• As vítimas de violação não divulgarão informações que facilitariam a identificação dos dados roubados.
• Milhões de registros estão disponíveis para compra em mercados da Deep Web e dados roubados podem ser
• O acesso aos dados roubados exige sua aquisição, o que é caro e pode ser considerado crime.
Com base em nossa análise dos dados do PRC, modelamos as relações entre diferentes eventos observados em
incidentes de violação. Criamos uma rede bayesiana* para modelar cenários de violação de dados comumente observados.
Para simplificar, optamos por não nos concentrar em setores individuais, mas criamos modelos gerais.
são mutuamente exclusivos.) A principal maneira pela qual os dados confidenciais foram comprometidos foi por meio de perda ou roubo.
Isso incluiu a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.),
registros (arquivos, recibos, contas, etc.) e dispositivos estacionários (computadores de escritório, equipamentos especializados, etc.).
Ataques de hacking ou malware constituíram a próxima grande ameaça, seguida por divulgação não intencional e
ameaças internas. Dados de cartão de pagamento comprometidos por clonagem, keylogging ou métodos semelhantes apresentados
menos de 2% de risco. Em pouco mais de 3% dos casos, o método de violação real permaneceu desconhecido.
_________
*Uma Bayesiana, Bayes ou rede de crenças é um modelo gráfico probabilístico (um tipo de modelo estatístico) que representa um conjunto de
variáveis e suas dependências condicionais.
15 | Siga os Dados
Machine Translated by Google
Desconhecido 3,2%
Tipo_X é. (Observe que os tipos de registro roubados são eventos dependentes.) Ao investigar uma violação de dados,
se Record_Type_X for roubado, é fundamental descobrir quais outros tipos de registro também podem ter sido roubados.
• PII foi o tipo de registro roubado mais popular. Há uma probabilidade de 70,05% de que as PII também tenham sido roubadas se as credenciais
forem roubadas. Há uma probabilidade de 73,33% de que as PII também tenham sido roubadas se os dados financeiros forem roubados e
assim por diante. Quase todos os tipos de registro contêm algumas PII. No caso de uma violação, as PII provavelmente
ser roubado.
• Os dados financeiros foram o segundo tipo de registro mais popular roubado. Há uma probabilidade de 21,8% de que os dados financeiros
também tenham sido roubados se as PII tiverem sido roubadas. Há uma probabilidade de 19,24% de que os dados financeiros também
tenham sido roubados se as informações de saúde foram roubadas e assim por diante. Os dados financeiros são um alvo popular porque
podem ser facilmente monetizados. Ele também contém PII que pode ser monetizado, indicando uma vitória dupla para os criminosos.
• O roubo de dados de saúde tornou-se popular a partir de 2010. Ele contém PII e também pode incluir dados financeiros, tornando-o um alvo
lucrativo para criminosos. Há 72,74% de chance de que as PII também tenham sido roubadas
se os dados de saúde foram roubados. Há uma chance de 20,79% de que os dados financeiros também tenham sido roubados se a saúde
• Os dados educacionais são roubados por motivos semelhantes aos das informações de saúde. O roubo de dados educacionais tem,
no entanto, diminuiu ao longo dos anos. Há uma probabilidade de 79,14% de que as PII também tenham sido roubadas se a educação
16 | Siga os Dados
Machine Translated by Google
• O roubo de dados de cartões de pagamento tornou-se muito popular após a criação dos raspadores de RAM PoS. Os dados do cartão de
pagamento são comumente roubados diretamente da RAM dos servidores PoS. É por isso que outros tipos de registro raramente são
roubados junto com os dados do cartão de pagamento. Em incidentes em que outros tipos de registros também foram roubados, os
• A coleta de credenciais normalmente é feita individualmente, e é por isso que outros tipos de registro raramente são roubados juntamente
com as credenciais. eBay, PayPal, Webmail, serviços bancários online e outras credenciais de contas geralmente são roubadas.
• Os criminosos roubam todos os tipos de dados disponíveis. Isso foi observado na violação da Sony Pictures em novembro de 201412. E-
mails internos, filmes inéditos, registros de saúde, senhas, dados salariais e outros foram comprometidos e divulgados ao público,
prejudicando enormemente a reputação da Sony Pictures. Mais recentemente, a Hacking Team, fabricante de software de vigilância, foi
hackeada e 415 GB de dados roubados foram tornados públicos. Isso incluía e-mails, informações de clientes, software, vulnerabilidades
de dia zero e assim por diante13. Roubar outras informações além de PII, credenciais e dados financeiros, de saúde, educação e cartão
de pagamento não é tão raro quanto os números de probabilidade indicam. As divulgações de incidentes de violação de dados concentram-
se nos dados mais arriscados roubados versus todas as informações obtidas. A definição de “dados arriscados” se expandirá
à medida que mais incidentes de violação em que outras informações são roubadas são divulgados.
19,74% 19,24%
Financeiro
2,06%
28,65%
34,03% 11,30%
21,80% 20,79%
2,15% 22,27%
4,62%
PII
3,11% 79,14%
15,72%
43,68%
4,62% 1,17%
70,05% 2,23%
6,47% 7,60%
4,62%
Educação Cartão de
1,35%10,93% 2,87% pagamento
17,86%
4,84% 7,56% 16,68%
3,60%
9,23% 14,96%
Credenciais
Figura 11: Probabilidade condicional de Record_Type_Y também ser roubado se Record_Type_X for
17 | Siga os Dados
Machine Translated by Google
A Figura 12 mostra o mapeamento de probabilidade dos métodos de violação de dados para registrar os tipos roubados. (Observe que
• Credenciais e cartões de pagamento e outros dados raramente são comprometidos por perda ou roubo.
• A maioria dos métodos de violação de dados tem mais de 60% de probabilidade de serem usados para comprometer PII.
• Os dados do cartão de pagamento raramente são divulgados acidentalmente. Por outro lado, acidental ou não intencional
divulgação de PII é comum.
• Insiders raramente vão atrás de dados e credenciais educacionais. Em incidentes de violação envolvendo insiders, o
• Em incidentes em que os investigadores não conseguiram descobrir qual método de violação foi usado, há um alto
18 | Siga os Dados
Machine Translated by Google
13, Piedmont Advantage Credit Union, Financial, North Carolina, 02-Mar-15, Portátil
Perda de dispositivo, desconhecido, [“PII”], mídia, [“associação de crédito””proteção por senha””desconhecido”]
19 | Siga os Dados
Machine Translated by Google
Para criar uma visão alternativa dos incidentes de violação de dados, um diagrama de rede de coocorrência foi gerado para as 1.000
principais palavras-chave extraídas usando o KH Coder8 . Na Figura 13, os tamanhos das bolhas representam a frequência, as cores
indicam comunidades agrupadas por palavras-chave e uma árvore abrangente mínima (MST) conecta os nós (com linhas em negrito
• A comunidade azul mostra que a perda ou roubo de dispositivos portáteis era um problema frequente no setor de saúde
• A comunidade roxa mostra bolhas associadas a ataques de hacking ou malware que conectam cartões de crédito, servidores, instituições
educacionais, fornecedores terceirizados, sites e assim por diante. Os cartões de crédito foram frequentemente vinculados a
• A comunidade vermelha conecta palavras-chave de dois grupos aparentemente díspares: divulgações não intencionais e ataques de
hacking ou malware. A conexão existe porque os hacktivistas postam publicamente dados roubados para prejudicar empresas ou
organizações, enquanto divulgações não intencionais são conceitualmente semelhantes, exceto pelo fato de que os vazamentos
• A comunidade amarela conecta os diferentes crimes cometidos. Algumas palavras-chave indicam que o
criminosos foram presos, mas esses incidentes tiveram uma frequência menor.
• A comunidade verde é um saco misto, conectando tudo, desde o mergulho no lixo até ações judiciais e sentenças de prisão para
criminosos. Não foram derivadas muitas correlações significativas desse agrupamento, além do fato de que há incidentes que
uma rede bayesiana (Figura 14) para modelar cenários de violação de dados comumente observados.
• Hacking ou malware foram usados para comprometer todos os tipos de registro. Os ataques de hacking ou malware geralmente incluem
phishing, exploração de vulnerabilidades, obtenção de acesso não autorizado e comprometimento de servidores e bancos de dados.
Os dados do cartão de crédito e débito também foram comprometidos por hackers ou ataques de malware.
• Em incidentes em que o método de violação é desconhecido, PII e dados financeiros, de cartão de pagamento e/ou de saúde
• Varejistas e restaurantes foram vítimas frequentes de fraudes com cartões de pagamento. Dispositivos de clonagem são usados, mas
raspadores PoS RAM são de longe as ferramentas mais populares para coletar dados de cartões de pagamento. Dados de cartões
• Divulgações não intencionais expuseram PII e dados de saúde e educação. As divulgações não intencionais ocorrem quando os dados
são acidentalmente publicados online, vazados por negligência ou expostos devido a erros ou negligência por parte de fornecedores
• Insiders visavam PII e dados financeiros, de cartões de pagamento, de saúde e outros. Fazer reivindicações fiscais fraudulentas, roubo
e fraude de identidade e vender dados para terceiros são crimes comuns cometidos por pessoas de dentro.
20 | Siga os Dados
Machine Translated by Google
• PII e dados financeiros, de saúde e educação foram frequentemente comprometidos por perda ou roubo.
Isso inclui a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.), registros físicos (arquivos,
recibos, contas etc.) e dispositivos estacionários (computadores de escritório, equipamentos especializados etc.).
Violação de dados
violação
durante
uma
Informações
roubadas
Cartão de
PII Financeiro Saúde Credenciais Educação Outros Desconhecido
pagamento
métodos
violação
de
Acesso não
Phishing Postado on-line Reivindicação fiscal de fraude
autorizado
compra
fraudulenta
Vulnerabilidade Registro exposto Roubo de identidade
Aparelho portátil Disco rígido
Servidor Varejista Disco vendido
Acidente ou erro
criptografado
Base de dados Restaurante
funcionário
Flash drive
desonesto
hacker Dispositivo de skimming
Fornecedor
terceirizado Não criptografado
Cartão de crédito Registro roubado
Hospital ou clínica
Dispositivo Equipamento
Computador
Figura 14: rede bayesiana mostrando cenários de violação de dados comumente observados
• Insiders: É difícil entender o que motiva os insiders. Atuam contra organizações das quais fazem ou fizeram parte e atuam indiretamente
contra seus próprios interesses14. Insiders podem ser motivados por dinheiro, ideologia, coerção e ego. Mais de um desses motivos
21 | Siga os Dados
Machine Translated by Google
• Criminosos individuais: normalmente se referem a operações de um para dois homens que roubam e vendem dados confidenciais
no mercado negro. Eles geralmente lançam ataques de hackers ou malware. Eles compram malware de hackers ou fóruns
criminosos, usam-nos para comprometer os sistemas das vítimas, roubar dados confidenciais e vender informações roubadas
em mercados da Deep Web15, 16, 17, 18. Os hacktivistas roubam dados como um ato de vingança contra uma empresa ou
• Grupos organizados: são grupos criminosos bem financiados que administram esquemas organizados para roubar e monetizar
dados confidenciais. Os sindicatos do crime conhecidos geralmente financiam e administram esses grupos. Grupos hacktivistas
como o Anonymous roubam dados por motivos ideológicos e divulgam informações roubadas ao público para causar
• Grupos patrocinados pelo Estado: os dados são frequentemente roubados para coleta de informações e espionagem ou para
obter vantagem competitiva. A mídia tende a culpar os Estados-nação por esse tipo de ataque. O jogo da culpa costuma ser
jogado quando organizações governamentais e empresas de defesa são atingidas por violações de dados, mas, na realidade, a
atribuição é muito difícil de determinar. Os ataques patrocinados pelo estado seguem um dos dois modelos operacionais – um
estado controla a equipe de hackers e seus recursos ou um estado terceiriza as atividades de hackers para terceiros, que
roubar PII, dados financeiros e credenciais. É importante identificar os crimes cometidos com
• PII: Isso pode ser usado para cometer fraude de identidade, preencher declarações fiscais fraudulentas, solicitar empréstimos ou
cartões de crédito, registrar contas falsas, vender para empresas de marketing e lançar spam e phishing
ataques.
• Dados financeiros: podem ser usados para criar cartões de crédito falsificados, pagar contas, fazer transações online fraudulentas
• Credenciais: podem ser usadas para roubar propriedade intelectual, cometer espionagem e
• Outros: Há casos em que os dados roubados são utilizados em ataques de vingança e/ou hacktivismo. Em
estes, as vítimas são chantageadas ou os dados roubados são mantidos para resgate.
bitcoins, WebMoney ou contas caucionadas. Esses métodos de pagamento oferecem conveniência e anonimato
tanto para compradores quanto para vendedores. Nesta seção, analisamos os diferentes tipos de dados confidenciais vendidos em
22 | Siga os Dados
Machine Translated by Google
• As contas de várias operadoras de telefonia móvel nos EUA estão disponíveis por até US$ 14 por conta.
• As contas comprometidas do PayPal e do eBay geralmente estão disponíveis para compra. Facebook, FedEx, Google Voice™, Netflix,
• As contas comprometidas do Uber recentemente se tornaram muito populares nos mercados da Deep Web, como
• Contas roubadas de vítimas no Canadá, Austrália, Reino Unido (Reino Unido) e outros países europeus estão prontamente disponíveis para
compra. Os criminosos provavelmente preferem distribuir suas operações de fraude em todo o mundo para aumentar a probabilidade de
• Não há diferenças de preço entre contas PayPal verificadas e não verificadas. O saldo disponível em cada conta é listado para ajudar os
compradores em potencial a fazer compras informadas. O vendedor pode vender a mesma conta comprometida para várias partes. O
comprador aceita o risco de que as contas possam ter sido sinalizadas e bloqueadas.
• As contas PayPal e eBay, que são maduras (com meses ou anos de histórico de transações), são vendidas por até US$ 300 cada. Contas
23 | Siga os Dados
Machine Translated by Google
24 | Siga os Dados
Machine Translated by Google
25 | Siga os Dados
Machine Translated by Google
26 | Siga os Dados
Machine Translated by Google
Credenciais de login para bancos em todo o mundo são vendidas a preços exorbitantes entre US$ 200 e US$ 500
por conta nos marketplaces da Deep Web. Quanto maior o saldo disponível de uma conta, maior o seu
preço de venda. Os malwares bancários foram e continuam sendo um grande problema no Brasil20. Como tal,
Não é surpresa encontrar tantas credenciais de login de bancos brasileiros comprometidas disponíveis para compra.
Figura 22: Credenciais de login bancário do Reino Unido e dos EUA para venda
27 | Siga os Dados
Machine Translated by Google
Figura 23: Credenciais de login do banco com informações de saldo para venda
Os anúncios listam o saldo disponível para contas. Transferências ilegais de dinheiro são feitas para contas offshore para
sacar em contas bancárias comprometidas. Ryanair na Irlanda foi vítima de tal dinheiro fraudulento
transferência em abril de 2015, quando € 4,2 milhões foram retirados de uma de suas contas bancárias via fundo eletrônico
transferência (EFT) através de um banco chinês21. Este é um exemplo de fraude de EFT em grande escala, que foi
rapidamente rastreados e os fundos relacionados foram congelados pelas autoridades competentes. Os criminosos comprando
credenciais de login de banco comprometidas normalmente não tentarão algo tão grande; em vez disso, eles removerão
quantias menores por um longo período de tempo que serão devolvidas em várias contas em diferentes
28 | Siga os Dados
Machine Translated by Google
fóruns de carding e os mercados da Deep Web vendem dados de cartão de pagamento para qualquer pessoa disposta a pagar. Dados do cartão
vende por preços diferentes em vários fóruns. Os preços dependem da oferta e da procura, sejam cartões
são validados ou não, e quanto dinheiro os criminosos podem potencialmente roubar deles antes de serem
desativado.
• Comprar dados de cartão de crédito em massa reduz os preços unitários. Em alguns casos, os vendedores vendem apenas dados de cartão em massa,
• Ao contrário do que acontecia há um ano, já não parecem existir diferenças de preços no que diz respeito à bandeira do cartão22.
Provavelmente, isso ocorre devido a um excesso de oferta de cartões de crédito devido a várias violações de dados.
• Cartões de crédito de todos os continentes—Europa, Ásia, África, América do Norte e do Sul e Austrália—são
• Os cartões de crédito fora dos Estados Unidos alcançam preços mais altos por unidade em comparação com os dos Estados Unidos.
• Os fóruns de cartões têm funções de pesquisa que permitem aos compradores selecionar cartões de crédito de diferentes estados e/ou bancos
emissores. Usar cartões roubados para fazer compras perto das localizações geográficas onde foram roubados tem menos probabilidade de ser
29 | Siga os Dados
Machine Translated by Google
30 | Siga os Dados
Machine Translated by Google
31 | Siga os Dados
Machine Translated by Google
PII é outra mercadoria quente disponível para compra em mercados da Deep Web a preços comparativamente
Preços razoáveis.
• As PII são normalmente vendidas por linha a US$ 1 por linha. Cada linha contém um nome, um endereço completo, uma
data de nascimento, um número de CPF e outras informações. Os criminosos precisam comprar apenas algumas linhas
para cometer fraude de identidade.
• O preço médio das PII caiu de cerca de US$ 4 em 2014 para US$ 1 este ano. Isso provavelmente se deve
a um excesso de oferta de PII de várias violações de dados.
• Relatórios de crédito completos de pessoas com pontuações FICO23 muito altas estão disponíveis para compra por US$ 25
por relatório.
• Digitalizações completas de documentos como passaportes, carteiras de motorista, contas de serviços públicos e outros
estão disponíveis para compra de US$ 10 a US$ 35 por documento digitalizado. Estes são usados para criar falsificações e
roubar PII.
32 | Siga os Dados
Machine Translated by Google
33 | Siga os Dados
Machine Translated by Google
34 | Siga os Dados
Machine Translated by Google
segurança e a falta de ambos são considerados questões importantes, a pergunta “Quanto valem seus dados pessoais?” está se tornando cada
vez mais relevante. A Trend Micro fez esta pergunta a mil clientes dos EUA, Europa e Japão e descobriu que2 :
• As senhas compreendem o tipo de dados pessoais mais valioso por US$ 75,80.
• Informações de saúde e registros médicos ficaram em segundo lugar, com valor médio de US$ 59,80. Os entrevistados dos EUA colocaram o
valor mais alto em seus registros de saúde em US$ 82,90, enquanto os consumidores europeus consideraram o valor deles de US$ 35.
• Os detalhes de pagamento ficaram em quarto lugar, com US$ 36,60. Os cidadãos norte-americanos cobraram US$ 45,10 por essas informações, enquanto o
• Histórico de compras ficou em quinto lugar, avaliado em US$ 20,60. Os entrevistados dos EUA novamente o valorizaram mais em comparação
• As informações de localização física ficaram em sexto lugar, avaliadas em US$ 16,10. Cidadãos dos Estados Unidos custaram US$ 38,40,
enquanto os do Japão e da Europa custaram insignificantes US$ 4,80 e US$ 5,10, respectivamente.
35 | Siga os Dados
Machine Translated by Google
• O endereço residencial ficou em sétimo lugar, avaliado em US$ 12,90. Os consumidores dos EUA mais uma vez o fixaram em US$ 17,90.
Os respondentes japoneses estimaram esta informação em US$ 16,30, enquanto os europeus avaliaram em US$ 5,00.
• Fotos e vídeos pessoais ficaram em oitavo lugar, avaliados em US$ 12,20. Os entrevistados dos EUA os avaliaram em
• As informações sobre o estado civil foram fixadas em uma média de US$ 8,30. Os consumidores japoneses fixaram o preço em US$ 12,70,
enquanto os americanos e europeus avaliaram essa informação em US$ 6,10 e US$ 6,00, respectivamente.
Uma conclusão que podemos tirar da pesquisa é que os entrevistados dos EUA valorizam quase todas as suas informações pessoais mais
do que seus colegas de outros países. Além das diferenças culturais, isso também pode ser devido ao quanto os consumidores americanos
valorizam sua privacidade e como suas vidas cotidianas giram em torno de seus
próprias informações pessoais em meio ao boom da mídia social. Outra coisa que se destacou foi como todos
considera as senhas suas informações mais valiosas. Este é um forte indicador de como as pessoas conectadas
Embora o valor percebido dos dados roubados seja diferente de seu preço real de venda, o valor final em dólares dos danos infligidos a uma
cometer crimes. Mas e quanto a outros dados roubados? Como mencionado anteriormente, a grande maioria das violações
permanecem não relatados e não divulgados3, 4, 5. Há muitos motivos pelos quais empresas ou organizações não
relatar violações de dados. Uma das principais razões é que as organizações violadas não são legalmente obrigadas a
divulgue quais dados foram comprometidos se isso não pertencer aos clientes. Um exemplo disso seria
propriedade intelectual. Isso deixa um buraco em nossa compreensão das violações de dados e só podemos
Em junho de 2011, vários fornecedores de defesa dos EUA foram vítimas de violações de segurança. Seus tokens RSA SecurID
foram explorados via clonagem24. Nenhuma informação foi divulgada sobre que tipo de dados foi comprometido
rede sofreu uma violação de segurança25. Os dados de satélite roubados são vitais para o planejamento de desastres, aviação, navegação,
e outros usos cruciais. Detalhes sobre exatamente quais dados foram comprometidos, como a violação aconteceu,
36 | Siga os Dados
Machine Translated by Google
Em junho deste ano, uma pequena mina de ouro canadense chamada “Detour Gold” sofreu uma violação de segurança onde
mais de 100 GB de dados foram roubados26, 27. Dos 100 GB de dados roubados, 18 GB foram divulgados publicamente e contidos
IPI; dados financeiros e de saúde; e-mails; e outros. A liberação pretendia constranger e causar danos aos
a mineradora. Mas o dano real teria sido causado pelo roubo de outras informações que
não foi lançado. Especula-se que os outros dados roubados incluem informações de exploração geológica de
potenciais locais de mineração de ouro. A empresa teria gasto milhões em pesquisa e desenvolvimento (P&D)
O roubo de outros tipos de dados indica fortemente espionagem, coleta de informações e obtenção de um enorme
vantagem sobre um concorrente de negócios. Essas violações são orquestradas por grupos que têm um
interesse em obter dados para sua vantagem. As empresas ou organizações vítimas raramente divulgam a
danos reais infligidos, pois isso envolve a divulgação de detalhes sobre a violação e quais dados foram roubados, mas
37 | Siga os Dados
Machine Translated by Google
Defendendo-se contra
violações de dados
Em poucas palavras, qualquer empresa ou organização que processe e/ou armazene dados confidenciais é um potencial
meta de violação. No mundo interconectado de hoje, as estratégias de prevenção de violação de dados devem ser consideradas
parte integrante das operações comerciais diárias. Em última análise, nenhuma defesa é inexpugnável contra determinado
• Aplicar as lições aprendidas para fortalecer ainda mais as defesas e evitar a repetição de incidentes.
As violações de dados são inevitáveis. Ter processos eficazes de alerta, contenção e mitigação é fundamental. Em
Nesta seção, apresentaremos recomendações para se defender contra violações de dados. Estratégias defensivas para
alguns dos métodos de violação discutidos neste artigo estão fora do escopo desta pesquisa e, portanto,
sido omitido.
empresas privadas em todo o mundo desenvolveram essas diretrizes em conjunto28, 29. É um documento “vivo” que vai
por meio de atualizações periódicas para lidar com novos riscos apresentados por um cenário de ameaças em evolução. É mantido por
o Center for Internet Security (CIS), uma entidade global independente sem fins lucrativos. Sua última versão publicada
é v5.1. Uma versão futura, v6, está atualmente disponível para comentários públicos30. Um resumo da segurança
38 | Siga os Dados
Machine Translated by Google
1. Inventário de Autorizados e Gerenciar ativamente (inventário, rastrear e corrigir) todos os dispositivos de hardware
Dispositivos não autorizados na rede para que apenas dispositivos autorizados tenham acesso e
ganhando acesso.
3. Configurações seguras para Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração
Hardware e software de segurança de laptops, servidores e estações de trabalho usando um gerenciamento
configurações.
5. Defesas contra malware Controle a instalação, disseminação e execução de códigos maliciosos em vários pontos
da empresa, otimizando o uso de automação para permitir atualização rápida de defesa, coleta
de dados e correções
Ação.
6. Segurança de software de aplicativo Gerencie o ciclo de vida de segurança de todos os recursos desenvolvidos internamente e
7. Controle de acesso sem fio Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso de
sistemas.
8. Capacidade de Recuperação de Dados Os processos e ferramentas usados para fazer backup adequado de informações críticas
9. Avaliação de habilidades de segurança Para todas as funções funcionais na organização (priorizando aquelas de missão crítica
e Treinamento Adequado para Preencher para o negócio e sua segurança), identifique o conhecimento específico, habilidades e habilidades
e executar um plano integrado para avaliar, identificar lacunas e remediar por meio de políticas,
programas.
39 | Siga os Dados
Machine Translated by Google
10. Configurações seguras para Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração de
Dispositivos de rede segurança dos dispositivos de infraestrutura de rede usando um rigoroso gerenciamento de
11. Limitação e Controle de Gerenciar (rastrear/controlar/corrigir) o uso operacional contínuo dos portos,
Portas de rede protocolos e serviços em dispositivos de rede para minimizar
aplicativos.
14. Manutenção, Monitoramento e Colete, gerencie e analise logs de auditoria de eventos que podem ajudar a detectar,
16. Monitoramento de contas e Gerencie ativamente o ciclo de vida das contas do sistema e do aplicativo — sua criação,
Ao controle uso, inatividade e exclusão — para minimizar
17. Proteção de Dados Os processos e ferramentas usados para evitar a exfiltração de dados, mitigar os
18. Resposta a Incidentes e Proteger as informações da organização, bem como sua reputação,
19. Engenharia de Rede Segura Torne a segurança um atributo inerente da empresa, especificando, projetando e
20. Testes de Penetração e Vermelho Teste a força geral das defesas de uma organização (a tecnologia,
Exercícios em Equipe os processos e as pessoas) simulando os objetivos e ações
de um atacante.
40 | Siga os Dados
Machine Translated by Google
Implementar todos os 20 controles de segurança pode ser muito caro e requer equipes dedicadas para
operações, monitoramento, resposta e manutenção. Uma grande empresa ou organização deve ter a
recursos para implementar todos eles, mas a maioria das pequenas empresas só pode se dar ao luxo de implementar um subconjunto do
Os fornecedores de software de segurança oferecem pacotes agrupados para pequenas empresas que incluem soluções antimalware,
antiphishing e de filtragem da Web. Eles são fáceis de configurar, requerem administração mínima e oferecem excelente segurança pronta para
uso. Alguns fornecedores também incluem controle de dispositivos, prevenção contra perda de dados (DLP),
gerenciamento de patches e soluções de controle de aplicativos em seus pacotes para pequenas empresas. Windows® vem
com um firewall de software integrado fácil de configurar. A maioria dos roteadores sem fio vem com firewalls de hardware integrados. Todas
essas tecnologias funcionam para proteger uma empresa contra violações de dados.
Outra tecnologia importante que todas as empresas ou organizações devem considerar implementar é o disco e o dispositivo
criptografia. Observamos que a perda ou roubo de dispositivos portáteis (chaves USB, unidades de backup, laptops etc.) representam um grande
risco de comprometimento de dados. A criptografia de disco e dispositivo fará com que os dados no roubado
motivados por dinheiro, ideologias, coerção e seus egos. Mais de um desses motivos são frequentemente
colocar em jogo. Lidar com ameaças internas é uma tarefa difícil. Em termos gerais, prevenção e mitigação
As etapas técnicas para evitar ataques internos usam as melhores práticas de segurança. Ataques internos devem ser concedidos
o mesmo nível de priorização dos ataques externos. Assim como os ataques externos, os ataques internos não podem ser evitados
e por isso precisam ser detectados o mais rápido possível. Atividades de monitoramento e registro, como quais dados
está se movendo dentro de uma rede pode ser usado para detectar comportamentos potencialmente suspeitos. O princípio chave da
defesa é assumir compromisso. Isso também inclui a identificação de insiders comprometidos. Acesso adequado
controles devem ser implementados para garantir que os funcionários não possam acessar informações que não
necessidade para as suas funções do dia-a-dia. As credenciais dos funcionários que saem das organizações devem ser
Meios não técnicos de segurança são igualmente eficazes na prevenção de ameaças internas. descontentamento dos funcionários
aumenta os riscos que os ataques internos representam. Boas práticas de gestão para lidar com situações delicadas, reconhecer e recompensar
ameaças internas. Em poucas palavras, funcionários felizes têm menos probabilidade de se voltar contra seus empregadores.
41 | Siga os Dados
Machine Translated by Google
ter uma estrutura legal sólida para proteger as vítimas de violação de dados e os indivíduos afetados. NÓS
empresas sediadas são vítimas frequentes de violações de dados, mas não há padrões federais em vigor que
fornecer um conjunto uniforme de regras que regem os procedimentos de notificação35. Em vez disso, 47 estados dos EUA, o Distrito de
Columbia, Guam, Porto Rico e as Ilhas Virgens Americanas promulgaram suas próprias legislações, exigindo
A Califórnia promulgou a primeira lei de notificação de violação de dados em 2002, na qual outros estados se basearam.
Isso explica por que há tantos incidentes de violação de dados relatados na Califórnia. Em geral, a notificação
as leis exigem que as empresas informem os indivíduos afetados em tempo hábil sobre o comprometimento de
seus dados confidenciais assim que uma violação é descoberta. Alguns estados também exigem que o Procurador do Estado
Geral ou uma agência de relatórios do consumidor seja notificada. Existem variações nas leis de notificação entre os estados.
Alguns estados exigem notificação do consumidor sempre que ocorre uma violação, enquanto outros exigem notificação
somente quando houver risco de uso indevido de dados comprometidos. Alguns estados permitem um atraso de notificação
período, aguardando uma investigação, enquanto outros exigem que as notificações sejam enviadas dentro de um período definido de
tempo. A empresa que descumprir as leis de notificação pode estar sujeita a penalidades civis aplicadas
Algumas leis estaduais de notificação de violação de dados existem há uma década e os legisladores estão em processo de
apertando-os e expandindo-os38. A maioria deles é reativa, mas alguns também têm requisitos proativos
(requer criptografia de registro, planos de resposta para violações de dados, exercícios periódicos para testar planos de resposta,
etc). O principal problema de cada estado ter sua própria lei de notificação de violação de dados é que os requisitos
variam de estado para estado e podem, às vezes, ser conflitantes. Empresas que operam em vários estados ou
em todo o país precisam cumprir várias leis de notificação de violação de dados, o que aumenta a complexidade
lidar com um incidente. Ter um padrão federal pode simplificar esse processo.
É incorreto afirmar que não existem leis federais de notificação de violação de dados. Leis especializadas existem, mas uma
padrão universal de notificação de violação de dados ainda está faltando. Dependendo do tipo de organização e dados
42 | Siga os Dados
Machine Translated by Google
setor de saúde para notificar os pacientes afetados se seus registros de saúde foram comprometidos.
• A “Lei Gramm-Leach-Bliley” exige que as instituições financeiras notifiquem os clientes sobre uma violação de dados.
A Casa Branca propôs recentemente “A Lei de Proteção e Notificações de Dados Pessoais” como parte dos esforços do governo Obama
para fortalecer a segurança cibernética dos EUA37, 38. Essa lei proposta define o seguinte como dados confidenciais:
“(1) Nome e sobrenome de um indivíduo ou inicial do nome e sobrenome em combinação com quaisquer dois
(2) Um número não truncado do Seguro Social, número da carteira de habilitação, número do passaporte ou
número de registro de estrangeiro ou outro número de identificação exclusivo emitido pelo governo;
(3) Dados biométricos exclusivos, como impressão digital, impressão de voz, retina ou imagem de íris ou qualquer
(4) Um identificador de conta exclusivo, incluindo um número de contabilidade financeira ou crédito ou débito
(5) Um nome de usuário ou endereço de correio eletrônico, em combinação com uma senha ou segurança
(B) Um identificador de conta exclusivo, incluindo um número de conta financeira ou crédito ou débito
(C) Qualquer código de segurança, código de acesso ou senha ou código-fonte que possa ser usado
43 | Siga os Dados
Machine Translated by Google
Nos últimos dois anos, cinco projetos de lei de notificação de violação de dados diferentes foram apresentados ao Senado dos EUA, mas
nenhum deles recebeu apoio suficiente para aprovação39. Uma infinidade de razões pode estar por trás desses
falhas, incluindo grupos de lobby, avaliação de tecnologia complexa, definições pouco claras de dados confidenciais
A proposta de “Lei de Notificação e Proteção de Dados Pessoais” visa abordar o roubo de informações confidenciais
dados que podem prejudicar indivíduos, mas não roubo de propriedade intelectual, que pode afetar as operações comerciais,
avaliação da empresa e, possivelmente, segurança nacional. Os incidentes de roubo de propriedade intelectual também devem exigir
divulgação no interesse do público? O ato proposto anula quaisquer leis mais rígidas de notificação de violação de dados em nível estadual?
as empresas não precisam de legislações para implementar estratégias eficazes de prevenção de violação para proteger
contra vazamento de dados sensíveis. As estratégias de prevenção de violação de dados devem ser consideradas parte integrante
44 | Siga os Dados
Machine Translated by Google
foram divulgados publicamente. Eles atraíram muita atenção da mídia e levaram todos a perguntar:
“Quão seguros estão nossos dados?” Os incidentes que recentemente chegaram às manchetes incluem:
• O grupo hacktivista, Anonymous, invadiu computadores do US Census Bureau e vazou dados de funcionários40.
• A equipe de hackers - os criadores do software de vigilância - foi hackeada e mais de 400 GB de dados foram
vazou15.
• 21,5 milhões de americanos tiveram seus números de seguro social e outros dados confidenciais roubados no
• Hackers roubaram informações detalhadas sobre 104.000 contribuintes do Internal Revenue Service (IRS)
• Os hackers invadiram a enorme rede hospitalar da Universidade da Califórnia, Los Angeles (UCLA) para
• Ashley Madison—um serviço de namoro online que atende exclusivamente a casos extraconjugais—foi hackeado,
• Os sites de serviço de fotos on-line do Walmart Canada, CVS, Costco e Sam's Club foram comprometidos por meio de um
O número de divulgações de violação de dados envolvendo grandes varejistas está aumentando, o que só pode significar que
empresas ou organizações menores também estão sendo implacavelmente visadas, mesmo que não estejam fazendo
manchetes. No entanto, o dano causado aos indivíduos comuns, independentemente de suas sensibilidades
dados foram roubados de uma grande corporação ou de uma pequena loja de esquina, ainda é o mesmo - eles enfrentam sérios riscos
45 | Siga os Dados
Machine Translated by Google
Na realidade, qualquer empresa ou organização que processe e/ou armazene dados confidenciais é uma possível violação
alvo. Enquanto os dados confidenciais puderem ser monetizados por meio de fraudes e outros crimes, as violações de dados são
vai acontecer e com frequência crescente no futuro. Do ponto de vista de uma empresa ou organização
de vista, as violações de dados são inevitáveis. Nenhuma defesa é inexpugnável contra adversários determinados. Tendo
processos eficazes de alerta, contenção e mitigação são críticos. Nos EUA, os padrões federais precisam ser implementados para fornecer
Plataformas de computação móvel, como telefones, tablets, wearables e outros dispositivos, bem como os aplicativos que
executados neles estão rapidamente se tornando as principais plataformas de computação em todo o mundo. O desenvolvimento de aplicativos é constantemente
tornando-se mais simples. Aplicativos de compra, venda e marketing ficaram mais fáceis por meio de aplicativos on-line estabelecidos
mercados. Os aplicativos oferecem suporte a modelos de receita lucrativos para os desenvolvedores. Todo o ecossistema tem
foi concebido para eliminar as barreiras à entrada no mercado e incentivar o desenvolvimento de novos e inovadores
aplicativos. Tudo isso contribui para a explosão de aplicativos que atendem a todas as atividades imagináveis. Diariamente
os usuários não sabem que dados confidenciais são coletados, processados, armazenados e transmitidos por meio de aplicativos e não
necessariamente de forma segura. Nos próximos anos, aplicativos e dispositivos de computação móvel serão
Maior conscientização levará a maior cautela e a pressão aumentará sobre os governos federais
46 | Siga os Dados
Machine Translated by Google
Referências
1. Câmara de compensação de direitos de privacidade. (2015). Sobre a Clearinghouse de Direitos de Privacidade. Último acesso em 3 de julho de 2015,
https://www.privacyrights.org/content/about-privacy-rights-clearinghouse.
2. Marianne Kolbasuk McGee. (5 de maio de 2014). Segurança da Informação em Saúde. “Por que as violações de dados de saúde não são relatadas.”
3. Adam Greenberg. (8 de novembro de 2013). Revista SC. “Mais da metade das violações corporativas não são relatadas, de acordo com estudo.”
320252/.
4. Thomas Claburn. (31 de julho de 2008). Leitura Sombria. “A maioria das violações de segurança não são relatadas.” Último acesso em 19 de junho
5. ISO/IEC. (2015). “Norma Internacional ISO/IEC 27040.” Último acesso em 28 de agosto de 2015, https://infostore. saiglobal.com/store/
downloadFile.aspx?path=Previews%%205ciso%%205cupdates2015%%205cwk2%%20 5cISO-IEC_27040-2015.PDF.
en-us/um/redmond/groups/adapt/msbnx/.
9. Verizon. (2015). “Relatório de investigações de violação de dados de 2015.” Último acesso em 4 de julho de 2015, http://www. verizonenterprise.com/
resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf.
10. Brian Krebs. (10 de outubro de 2013). Krebs em Segurança. “Nordstrom encontra skimmers de caixas registradoras.” Acessado pela última vez em
11. Real Polícia Montada do Canadá. (2013). “Roubo de Identidade e Fraude de Identidade.” Último acesso em 9 de julho de 2015,
http://www.rcmp-grc.gc.ca/scams-fraudes/id-theft-vol-eng.htm.
12. Selo de Marca. (fevereiro de 2015). Feira da Vaidade. “Uma olhada exclusiva na saga de hacking da Sony.” Último acesso em 14 de julho de 2015,
http://www.vanityfair.com/hollywood/2015/02/sony-hacking-seth-rogen-evan-goldberg.
13. Thomas Fox-Brewster. (6 de julho de 2015). Forbes. “Violação da equipe de hackers expõe inseguranças de um negociante de vigilância controverso.”
47 | Siga os Dados
Machine Translated by Google
14. Jim Gogolinski. (9 de dezembro de 2015). Blog de Inteligência de Segurança da TrendLabs. “Ameaças Internas 101: A Ameaça Interior.”
Acessado pela última vez em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/insider ameaças-101-the-
threat-within/.
15. Trend Micro. (30 de junho de 2015). Blog de Inteligência de Segurança da TrendLabs. “Lordfenix: brasileiro de 20 anos lucra com malware
bancário.” Último acesso em 20 de julho de 2015. http://blog.trendmicro.com/trendlabs-security intelligence/lordfenix-20-year-old-
brazilian-makes-profit-off-banking-malware/.
16. Trend Micro. (13 de abril de 2015). Blog de Inteligência de Segurança da TrendLabs. “Operação de malware PoS de um homem captura
22.000 detalhes de cartão de crédito no Brasil.” Último acesso em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs security-
intelligence/fighterpos-fighting-a-new-pos-malware-family/.
17. Ryan Flores, Lord Remorin, Mary Yambao e Don Ladores. (16 de junho de 2015). Notícias de segurança da Trend Micro.
“Perfurando o HawkEye: como os cibercriminosos nigerianos usaram um keylogger simples para atacar pequenas e médias empresas.”
Último acesso em 20 de julho de 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/hawkeye
nigerian-cybercriminals-used-simple-keylogger-to-prey-on- sms.
18. Trend Micro. (26 de maio de 2015). Blog de Inteligência de Segurança da TrendLabs. “Ataque dos cibercriminosos solo – Frapstar no
Canadá.” Último acesso em 20 de julho de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/attack of-the-solo-
cybercriminals-frapstar-in-canada/.
19. Tom Heyden. (28 de maio de 2015). Revista BBC News. “Como a conta Uber do meu pai foi invadida?” Durar
acessado em 20 de julho de 2015, http://www.bbc.com/news/magazine-32900600.
20. Fernando Mercês. (18 de novembro de 2014). Inteligência de segurança da Trend Micro. “O mercado clandestino brasileiro: o mercado
para aspirantes a criminosos cibernéticos?” Último acesso em 20 de julho de 2015, http://www.trendmicro.ca/cloud content/us/pdfs/
security-intelligence/white-papers/wp-the-brazilian-underground-market.pdf.
21. Ciarán Hancock. (29 de abril de 2015). The Irish Times. “Ryanair é vítima de hacking de € 4,6 milhões via banco chinês.” Acessado pela
última vez em 20 de julho de 2015, http://www.irishtimes.com/news/crime-and-law/ryanair-falls-victim-to-4-6m-hacking-scam-via-chinese-
bank-1.2192444.
22. Numaan Huq. (setembro de 2014). Inteligência de segurança da Trend Micro. “PoS RAM Scraper Malware: passado, presente e futuro.”
Último acesso em 6 de julho de 2015, http://www.trendmicro.com/cloud-content/us/pdfs/security intelligence/white-papers/wp-pos-ram-
scraper-malware.pdf.
23. Gerri Detweiler. (19 de setembro de 2013). Credit. com. “O que significa FICO? O que é uma pontuação FICO?” Último acesso em 21 de
julho de 2015, http://www.credit.com/credit-scores/what-does-fico-stand-for-and-what-is-a-fico credit-score/.
24. Fahmida Y. Rashid. (2 de junho de 2011). eSemana. “Northrop Grumman, L-3 Communications hackeado por meio de tokens RSA
SecurID clonados.” Acessado pela última vez em 21 de julho de 2015, http://www.eweek.com/c/a/Security/Northrop-Grumman-L3-
Communications-Hacked-via-Cloned-RSA-SecurID-Tokens-841662.
25. Mary Pat Flaherty, Jason Samenow e Lisa Rein. (12 de novembro de 2014). Washington Post. “Chinese Hack EUA Sistemas
Meteorológicos, Rede de Satélites.” Último acesso em 21 de julho de 2015, http://www.washingtonpost.com/local/chinese-hack-us-
weather-systems-satellite-network/2014/11/12/bef1206a-68e9-11e4-b053-65cea7903f2e_ story. html.
48 | Siga os Dados
Machine Translated by Google
26. Rachelle Younglai. (23 de junho de 2015). O Globo e o Correio. “Pequena empresa canadense de ouro sofre invasão de computador.”
Último acesso em 21 de julho de 2015, http://www.theglobeandmail.com/report-on-business/industry-news/energy and-resources/small-
canadian-gold-firm-suffers-computer-hack/article25083416/.
27. Lee Johnstone. (24 de junho de 2015). CTRLBOX.COM. “Detour Gold Corporation (TSX: DGC) Análise de vazamento de dados de junho
de 2015.” Último acesso em 21 de julho de 2015, https://www.ctrlbox.com/docs/reports/Detour-Gold-Breach.pdf.
28. Instituto SANS. (2014). SANS. “Controles críticos de segurança”. Último acesso em 22 de julho de 2015, https://www.sans.org/critical-
security-controls/.
29. Instituto SANS. (2014). SANS. “Controles críticos de segurança: uma breve história”. Último acesso em 22 de julho de 2015, https://
www.sans.org/critical-security-controls/history.
30. Conselho de Segurança Cibernética. (2014). “Controles críticos de segurança”. Último acesso em 22 de julho de 2015,
http://www.counciloncybersecurity.org/critical-controls/.
31. Instituto SANS. (2014). SANS. “Controles críticos de segurança para uma ciberdefesa eficaz.” Último acesso em 22 de julho
2015, http://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf.
32. Conselho de Segurança Cibernética. (2014). “Os controles críticos de segurança para uma ciberdefesa eficaz.” Último acesso em 22 de
julho de 2015, https://ccsfiles.blob.core.windows.net/web-site/file/bb820ab03db7430abac40451ba4d3bb7/ CSC-MASTER-
VER5.1-10.7.2014.pdf.
33. Instituto Ponemon e IBM. (maio de 2014). “Estudo de custo de violação de dados de 2014: análise global.” Acessado pela última vez em
24 de junho de 2015, http://www-935.ibm.com/services/multimedia/SEL03027USEN_Poneman_2014_Cost_of_Data_Breach_Study.pdf.
34. Christopher J. Cox e David R. Singh. (2015). Bem. “Pesquisa de Privacidade de Dados sobre Leis de Notificação de Violação de
Segurança 2015.” Último acesso em 23 de junho de 2015, www.weil.com/~/media/files/pdfs/security_breach_notification_broch_
en_digital_2015_v2.pdf.
35. Conferência Nacional dos Legislativos Estaduais. (11 de junho de 2015). “Leis de Notificação de Violação de Segurança.” Último acesso
em 23 de junho de 2015, http://www.ncsl.org/research/tecommunications-and-information-technology/security exploit-notification-
laws.aspx.
36. Rodika Tollefson. (22 de junho de 2015). Fox Negócios. “Quais são as leis de notificação de violação de dados em seu estado?”
Último acesso em 23 de junho de 2015, http://www.foxbusiness.com/technology/2015/06/22/what-are-data-breach notification-laws-in-
your-state/.
37. A Casa Branca. (2015). “A Lei de Notificação e Proteção de Dados Pessoais.” Último acesso em 23 de junho de 2015, https://
www.whitehouse.gov/sites/default/files/omb/legislative/letters/updated-data-breach-notification.pdf.
38. Peter Carey e Kenneth Wainstein. (12 de fevereiro de 2015). Cadwalader. “A Lei de Proteção e Notificação de Dados Pessoais da
Administração Obama: Uma Análise.” Último acesso em 23 de junho de 2015, http://www.cadwalader. com/resources/clients-friends-
memos/the-obama-administrations-personal-data-notification-and-protection act-an-analysis.
39. Meena Harris. (25 de fevereiro de 2014). Dentro da privacidade. “Comparação de cinco projetos de lei de violação de dados atualmente
pendentes no Senado.” Acessado pela última vez em 18 de setembro de 2015, http://www.insideprivacy.com/united-states/congress/
comparation-of-five-data-breach-bills-currently-pending-in-the-senate/.
49 | Siga os Dados
Machine Translated by Google
40. David Gilbert. (23 de julho de 2015). Tempos de Negócios Internacionais. “Anonymous invade o US Census Bureau por causa do acordo
TTIP, vazando dados de funcionários online.” Último acesso em 23 de julho de 2015, http://www.ibtimes.co.uk/onymous-hacks-us-census-
bureau-over-ttip-agreement-leaking-employee-details-online-1512244.
41. Kate Vinton. (9 de julho de 2015). Forbes. “21,5 milhões de americanos foram comprometidos na segunda violação do OPM.” Acessado
pela última vez em 23 de julho de 2015, http://www.forbes.com/sites/katevinton/2015/07/09/21-5-million-americans-were compromisso-
in-opms-second-breach/.
42. Kenneth R. Harney. (2 de junho de 2015). Washington Post. “Violação de dados do IRS pode ser preocupante para quem busca uma
hipoteca.” Acessado pela última vez em 23 de julho de 2015, http://www.washingtonpost.com/realestate/irs-was told-in-2011-that-its-
security-and-privacy-controls-were-inadequate/2015/06/01/ de42884a-0886-11e5-95fd d580f1c5d44e_story.html.
43. José Pagliery. (17 de julho de 2015). Dinheiro da CNN. “UCLA Health hackeado, 4,5 milhões de vítimas.” Último acesso em 23 de julho
de 2015, http://money.cnn.com/2015/07/17/technology/ucla-health-hack/.
44. Cassandra Fairbanks. (22 de julho de 2015). O Independente. “Ashley Madison Hack: 'De todas as violações de dados, esta é
provavelmente a mais engraçada.'” Último acesso em 23 de julho de 2015, http://www.independent.co.uk/voices/comment/ashley
madison-hack-out- de-todas-as-violações-de-dados-que-aconteceram-esta-é-provavelmente-a-mais-engraçada-10407666.html.
45. Thomson Reuters. (21 de julho de 2015). CBC News. “Costco se junta ao Walmart para fechar loja de fotos online após possível violação
de dados.” Último acesso em 23 de julho de 2015, http://www.cbc.ca/news/technology/costco-joins walmart-in-shutting-online-photo-
store-after-possible-data-breach-1.3161523.
46. A imprensa canadense. (14 de julho de 2015). Notícias 1130. “Possível violação de dados no Walmart Photo Site.” Último acesso em 30
de julho de 2015, http://www.news1130.com/2015/07/14/possible-data-breach-on-walmart-photo-site/.
50 | Siga os Dados
Machine Translated by Google
Criado por:
TREND MICROTM
A Trend Micro Incorporated, líder global em segurança em nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções de segurança de conteúdo de Internet e gerenciamento
de ameaças para empresas e consumidores. Pioneiros em segurança de servidores com mais de 20 anos de experiência, oferecemos serviços de primeira linha para clientes, servidores e
segurança baseada em nuvem que atende às necessidades de nossos clientes e parceiros; detém novas ameaças mais rapidamente; e protege os dados em ambientes físicos, virtualizados e em nuvem.
Alimentados pela infraestrutura Trend Micro™ Smart Protection Network™, nossa tecnologia, produtos e serviços de segurança de computação em nuvem líderes do setor interrompem as ameaças onde
elas surgem, na Internet, e contam com o suporte de mais de 1.000 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite
www.trendmicro.com.
©2015 da Trend Micro, Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são marcas comerciais ou marcas registradas da
Trend Micro, Incorporated. Todos os outros nomes de produtos ou empresas podem ser marcas comerciais ou marcas registradas de seus proprietários.