É muito comum hoje em dia ouvir sobre uma nova violação de dados. No entanto, existem muitas formas diferentes que uma violação de dados pode assumir. Existem até violações que não resultam em violação de dados. O núcleo de uma violação de dados é que alguns dados destinados a permanecer privados são tornados públicos.
Como ocorre uma violação de dados?
Existem muitas maneiras diferentes pelas quais as violações de dados podem acontecer. A suposição padrão é que um invasor de alguma forma obteve acesso a um sistema privado e baixou os dados. A entrada normalmente seria adquirida pelo hacker explorando alguma vulnerabilidade. Algumas dessas explorações são explorações de “dia zero” inteiramente novas, para as quais a vítima tem muito poucas chances de prevenir com sucesso. Muitas violações de dados, no entanto, são resultado da exploração de vulnerabilidades conhecidas anteriormente em sistemas que não foram atualizados.
Dica: Um “dia zero” é um exploit usado ativamente na natureza que antes era desconhecido. Normalmente, um patch para um dia zero não está disponível imediatamente e deve ser desenvolvido antes de ser distribuído e instalado nos sistemas afetados. Em alguns casos, por exemplo, a mitigação pode estar disponível para desabilitar o componente vulnerável. Ainda assim, os servidores podem precisar ficar offline vs. sendo incapaz de se defender contra um ataque conhecido.
Como a vulnerabilidade não é conhecida antes de ser explorada ativamente, os dias zero são difíceis de se defender. A defesa em profundidade é normalmente o melhor plano. Ou seja, ter muitas camadas de defesa, o que significa que é improvável que um único problema resulte em uma violação de dados real.
Phishing é outra causa comum de violação de dados. Os invasores tentam induzir os usuários legítimos a divulgar suas credenciais para obter acesso ao sistema com a permissão da vítima. Contas e usuários com permissões administrativas geralmente são visados, pois tendem a ter acesso mais amplo a dados mais confidenciais.
Ameaças internas e incompetência
Ameaças internas são um ponto de risco subestimado. Um funcionário insatisfeito pode usar seu acesso legítimo para causar grandes danos. Esse ataque aproveita o fato de o usuário conhecer o sistema e ter acesso justo a ele, dificultando sua detecção e prevenção.
A incompetência também pode ser uma causa de violações de dados. Existem vários exemplos de violações de dados resultantes de uma empresa que torna público um banco de dados de backup sem perceber. Nesse caso, o termo violação é quase difícil de justificar, pois a própria empresa vazou os dados, não um hacker. Vale a pena notar que, legalmente, obter acesso não autorizado a um sistema de computador é crime.
Isso pode até contar se os dados foram tornados públicos acidentalmente ao permitir o acesso aberto a um sistema. Você provavelmente não poderia ser condenado por simplesmente acessar um site público. Você provavelmente seria condenado se tentasse baixar e vender esses dados em um fórum da dark web.
Que tipo de dados são violados?
O tipo de dados violados depende dos dados que a organização violada possui e da motivação dos invasores. Também depende da sua definição do que é violado. Alguns hackers estão atrás de dados que possam vender. Eles tentam acessar os dados do usuário, especialmente nomes de usuário e hashes de senha, bem como outras PII e detalhes de pagamento. Esse tipo de ataque geralmente tem o impacto mais significativo nas pessoas, pois seus dados e privacidade são afetados.
Alguns hackers têm uma causa e geralmente visam dados que detalham atos ilícitos, percebidos ou não. Outros visam roubar dados proprietários ou secretos. Isso tende a ser o reino dos estados-nação e da espionagem corporativa. A maioria das violações afeta o máximo de dados que podem ser acessados na teoria de que terão valor para alguém ou podem ser divulgados como prova de legitimidade.
Outras violações podem nunca resultar em violações de dados reais. Um hacker pode obter acesso a um sistema e ser identificado e parado antes que possa causar qualquer dano real. Isso seria semelhante a pegar um ladrão no mundo real enquanto ele está em processo de invasão. Tecnicamente, houve uma violação de segurança, mas nenhum dado foi perdido ou exfiltrado.
A Situação Jurídica
Na maioria dos lugares, as leis que cobrem o crime de computador listam o “acesso ou uso não autorizado” de um sistema de computador como crime. Coisas como acessar um computador sem permissão são tecnicamente um crime. Isso também significa que acessar um sistema que você não deveria, mesmo que tenha permissão para acessar outros sistemas, é crime. Isso significa que qualquer violação envolve alguma atividade criminosa.
Mesmo nos casos em que a violação é considerada de interesse público, o vazador pode ser responsabilizado criminalmente. Em alguns casos, isso complica os casos de delatores. Muitas vezes, os denunciantes são legalmente protegidos, pois é do interesse público que as injustiças sejam trazidas à tona. Mas, em alguns casos, a coleta de evidências exige o acesso às coisas sem permissão. Também envolve o compartilhamento de dados sem permissão. Isso pode fazer com que os denunciantes tentem permanecer anônimos ou peçam anistia para revelar sua identidade.
Além disso, determinar o que é de interesse público é notoriamente complicado. Muitos hacktivistas considerariam suas ações de interesse público. A maioria dos indivíduos cujos dados são divulgados como parte dessa ação discordaria.
Conclusão
Uma violação normalmente se refere a uma violação de dados em que alguns dados que deveriam ser privados são tornados públicos. No entanto, o termo “violação” pode se referir a uma violação de segurança na qual ocorreu um incidente, mas nenhum dado foi roubado. Os dados direcionados geralmente têm valor para os hackers. Podem ser dados pessoais que podem ser vendidos, segredos corporativos ou nacionais ou evidências de irregularidades percebidas. As violações de dados geralmente obtêm acesso ao máximo de dados possível, supondo que todos os dados tenham algum valor.