Ashley Madison: Uma história de sexo, mentiras e violações de dados

Violações de dados raramente se tornam notícias sensacionais. Os meios de comunicação falam sobre elas mas o interesse do público geralmente morre depois de de uma semana ou duas.

Ou esse era o caso até a violação do Ashley Madison acontecer. O recente vazamento das contas do Ashley Madison foi o ápice de um impasse digital de um mês entre o site que incentiva descaradamente as pessoas a terem casos e um grupo hacktivista chamado Impact Team.

Em julho passado, o site Ashley Madison relatou ter sido vítima de uma violação de dados. O Impact Team assumiu o crédito, exigindo que o site e outro site relacionado fossem tirados do ar permanentemente. Os hackers então começaram a vazar trechos de informações de contas e também informações da empresa, inclusive de servidores internos.

O grupo se deu bem com sua ameaça já que as contas acabaram indo para a Deep Web. As informações vazadas tinham várias revelações. Por exemplo, 15.000 contas ou tinham um endereço .mil ou .gov. Investigando esses endereços, outros meios de comunicação descobriram emails de trabalho frequentemente usados nas contas.

(Curiosamente, o vazamento apresentou provas de que o site praticava algumas medidas de segurança não encontradas em outros sites. Por exemplo, as senhas eram armazenadas usando alguma forma de criptografia e não em forma de texto simples).

Algumas pessoas salientaram que os usuários não deveriam esperar que suas informações fossem mantidas protegidas, considerando-se a natureza do site. Mas, tirando as implicações morais do site, o Ashley Madison garantia aos seus clientes que suas informações seriam mantidas privadas e até oferecia um serviço pago para apagar os dados do usuário permanentemente – o que o site deixou de fazer em ambas as contas.

Lidando com Violações de Dados

Esse vazamento prova que muitas empresas não estão prontas para lidar com uma violação de dados: ou impedindo que aconteça ou gerenciando um vazamento depois de ocorrer. Isso é muito problemático por causa das implicações de vazamento de dados no mundo real.

“Os riscos à reputação são reais se você não investir de verdade em segurança cibernética de última geração. Os hackers do mundo irão evitar as defesas tradicionais de segurança que são defendidas por grandes organizações padrão, como o Conselho de Normas de Segurança do Setor de Cartões de Pagamento (PCI SSC) (sigla em inglês para Payment Card Industry Security Standards Council )”, disse Tom Kellerman, diretor de segurança cibernética da Trend Micro, em uma entrevista.

Esse foi bem o caso do Ashley Madison e de muitos outros sites que trabalham com a premissa de manter as ações de seus usuários discretas e privadas.

Em um cenário ideal, medidas de segurança contra violações de dados deveriam ter sido instaladas antes mesmo de tal incidente ocorrer. Por exemplo, as organizações devem avaliar o tipo de dados que pedem de seus usuários. Eles realmente precisam de algo específico, além das informações de contato e financeiras? Mesmo partes não essenciais de informação podem ser vistas como sensíveis – especialmente quando usadas para criar blocos para completar o perfil da vítima.

Criptografar informações sensíveis e restringir o acesso a elas já ajuda bastante na redução de possíveis intrusões, especialmente contra hackers internos. Algumas pessoas especularam que a violação do Ashley Madison foi um trabalho interno; se foi o caso, controles de acesso mais restritos poderiam ter dificultado a obtenção dos dados.

Quando se trata de violações de dados, não é mais uma questão de “se” e sim de “quando”.  Portanto mesmo com essas medidas preventivas instaladas, as organizações devem supor que há um intruso na rede. Com isso em mente, um contínuo monitoramento dos sistemas deve ser implementado em busca de atividades suspeitas.

Pensando nisso tudo, as empresas precisam implementar um sistema concreto de defesa multicamadas como um passo proativo contra violações de dados, como os seguintes:

  • Teste regularmente sites e aplicações em busca de riscos de segurança críticos descobertos na lista das dez principais vulnerabilidades do Projeto Aberto de Segurança de Aplicação na Web (OWASP)
  • Implemente firewalls para aplicações da web (WAF) para estabelecer regras que bloqueiam explorações, especialmente quando os patches ainda estão em andamento.
  • Implemente soluções de prevenção de perda de dados (DLP) para identificar, rastrear e proteger dados corporativos e minimizar a responsabilidade.
  • Implemente um sistema de detecção de violações de confiança (BDS) que não apenas pega um amplo espectro da Web, email e ameaças em arquivos, mas também detecta ataques avançados e ameaças avançadas.

Mas o que as empresas devem fazer depois que uma violação de dados acontece? Primeiro, devem confirmar se a violação realmente aconteceu. As vítimas devem ser informadas sobre a violação pela empresa afetada, nunca através da mídia. As organizações devem declarar tudo o que sabem sobre o incidente, tal como o momento em que o incidente ocorreu.