Empresa de análise de DNA demonstra o que não fazer antes e depois de uma violação de dados

No início de outubro de 2023, um fornecedor líder de análise de ADN foi vítima de um ataque clássico de apropriação de conta. Você pode lembrar que um ataque de apropriação de conta ocorre quando um atacante tenta iniciar sessão num sistema usando conjuntos de credenciais que foram comprometidas noutro ataque. Este tipo de ataque existe há muito tempo porque continua a funcionar. Cada pessoa que usa a mesma palavra-passe para várias contas contribui potencialmente para este tipo de ataque.

O ataque em questão terá violado aproximadamente 14.000 contas de utilizador. Através destas 14.000 contas, os atacantes obtiveram informações sensíveis de cerca de 6,9 milhões de pessoas que usaram as funcionalidades opcionais de partilha da plataforma. Este número representa quase metade da base de clientes da empresa. Os dados expostos na violação incluíam nomes, datas de nascimento, relações e percentagens de ADN com outros, informações de ascendência e localização.

Parece ter havido pelo menos dois ataques à empresa, começando em agosto de 2023, quando um hacker anunciou 300 terabytes de dados para venda num fórum de cibercrime. O agente de ameaça ‘Golem’ reivindicou o crédito pelo ataque de outubro e publicou múltiplos conjuntos de dados num fórum separado. A TechCrunch investigou ambos os conjuntos de dados e encontrou registos correspondentes.

Resposta corporativa

Passo um: A empresa vem primeiro.

As pessoas têm reutilizado palavras-passe desde sempre, porque lembrar dezenas, dúzias ou centenas de palavras-passe é uma dor de cabeça. Muitas empresas foram vítimas destes ataques, incluindo PayPal, Chick-fil-A, Norton e Disney+. Na semana passada, o gigante das telecomunicações Orange Espanha perdeu o controlo de 50% do seu tráfego quando um ator de ameaça conseguiu aceder ao registo regional de internet que gere os seus endereços IP. O registo, RIPE, é um alvo frequente de ataques de stuffing de credenciais porque há muito pouca segurança de palavras-passe em vigor. Os ataques de stuffing de credenciais são comuns e continuarão a ser comuns até que todos tenham uma defesa contra eles, ou resolvemos o problema das palavras-passe.

O que é incomum é que a primeira resposta da empresa de DNA foi alterar os seus termos de serviço (ToS) em torno da cláusula de arbitragem obrigatória. Em suma, a empresa modificou os ToS de arbitragem obrigatória para arbitragem INDIVIDUAL obrigatória. Isto tem como objetivo impedir que as vítimas individuais colaborem contra a empresa. A partir de os ToS revistos:

"... se estiver representado por um advogado, o seu advogado pode participar na conferência, mas também participará na conferência. A conferência deve ser individualizada de forma que uma conferência separada deve ser realizada cada vez que uma das partes inicia uma Disputa, mesmo que o mesmo escritório de advocacia ou grupo de escritórios de advocacia represente vários utilizadores em casos semelhantes, a menos que todas as partes concordem; vários indivíduos a iniciar uma Disputa não podem participar na mesma conferência a menos que todas as partes concordem."

(emphasis mine)

Um evento de violação é doloroso o suficiente para as vítimas individuais cujos dados foram expostos. Todas as empresas realizam controlo de danos após o ataque, mas a maioria demonstrará alguma empatia pelas vítimas individuais. Em contraste, esta empresa apenas tornou as coisas mais difíceis, tediosas e desconfortáveis para as vítimas. Esta é uma tentativa flagrante de suprimir o número de reclamações contra a empresa, e isso apenas torna tudo mais doloroso para as pessoas afetadas pela violação. Independentemente da intenção, não fez nada para parar a onda de ações que foram movidas contra a empresa.

Passo dois: Culpar as vítimas.

O passo mais interessante e algo mal-intencionado tomado pela empresa é culpar diretamente os seus clientes pela violação da empresa.

"...utilizadores usaram os mesmos nomes de utilizador e palavras-passe que tinham sido alvo de anteriores violações de segurança, e os utilizadores negligentemente reciclaram e não atualizaram as suas palavras-passe após estes incidentes de segurança anteriores."

Isto foi retirado de uma resposta escrita a uma ação judicial coletiva movida pelas vítimas individuais. Não é incomum uma empresa proteger-se, mas é incomum apontar o dedo diretamente às vítimas de uma forma tão específica. Pode ler a carta aqui e o post de blog aqui. Ambos os documentos dizem às vítimas: "Não devias ter feito isso, por isso a culpa não é nossa." Culpar as vítimas na sua forma mais pura.

Todos os que utilizam uma palavra-passe sabem que as pessoas reutilizam as suas palavras-passe. É por isso que existe um mercado para empresas como Keeper, Dashlane e Have I Been Pwned (HIBP). É por isso que a gestão de identidade é um negócio de milhares de milhões de dólares. Simplesmente não há desculpa para uma empresa que vale centenas de milhões de dólares NÃO mitigar um dos problemas mais básicos na segurança de TI.

O modelo de segurança partilhada de que temos falado nos últimos anos em relação ao AWS e ao Azure não se aplica apenas aos fornecedores de nuvem pública. Todas as empresas têm a responsabilidade de incluir medidas de segurança adequadas nos seus processos de autenticação. Isto pode ser algo tão simples como adicionar a autenticação multifator (MFA), usar palavras-passe únicas, ou enviar links secretos (magic links) para um e-mail pertencente ao utilizador. Para ilustrar o método do link secreto, vejamos a plataforma de comunicação Slack. Quando um utilizador tenta iniciar sessão no Slack, o utilizador recebe um link de verificação (magic link) no e-mail registado. O utilizador não precisa de uma palavra-passe para o Slack se tiver acesso à sua própria conta de e-mail registada. Isto protege a conta do Slack de ataques de preenchimento de credenciais e facilita muito a vida de um utilizador que sofre de fadiga de palavras-passe.

Não houve proteção adicional para os clientes desta empresa. Mesmo uma simples integração com HIBP ou um fornecedor similar poderia ter alertado um utilizador quando estava a criar a conta ou a iniciar sessão mais tarde, dizendo "A sua senha foi comprometida. Por favor, não reutilize esta senha." Particularmente grave, dado o tipo de dados sensíveis que eles possuem.

A decisão de culpar as vítimas alimentou uma imprensa negativa, esquivou-se da responsabilidade e falhou em expressar qualquer compaixão para com os afetados. Embora isto seja provavelmente impulsionado em grande parte pelo departamento jurídico da empresa, o tom da carta provavelmente irá irritar os clientes e alimentar a reação negativa. Em última análise, em muitos casos, a pessoa comum pode não saber que a sua palavra-passe foi comprometida noutro lugar. Cabe a uma organização garantir que as suas medidas de segurança são suficientemente robustas para mitigar qualquer risco para o utilizador final. Minimizar publicamente o risco e desviar a culpa é, sem dúvida, uma má estratégia de relações públicas. ~ Yvonne Eskenzi conforme citado em The Register

Passo três: Outras coisas estúpidas

A empresa lançou mais um ataque às vítimas ao afirmar que nenhum dano poderia advir dos dados roubados. Trata-se de dados de DNA, o que torna esta declaração tanto ridícula quanto pessoalmente ofensiva. Pouco depois da violação inicial, o ator da ameaça ofereceu para vender “1 milhão de pontos de dados exclusivamente sobre judeus Ashkenazi”, dados sobre pessoas de descendência chinesa e outros dados que identificam utilizadores como “genericamente europeus” ou “genericamente árabes”. Estes dados podem certamente ser usados como armas por grupos de ódio, e é irresponsável afirmar que nenhum dano pode resultar da fuga de informação.

Existem outros problemas aqui também, incluindo o fato de que a atividade do utilizador não foi rastreada. A segurança de aplicações usa métricas como metadados de login do utilizador, comportamento do utilizador, páginas visitadas, e assim por diante. Estes dados permitem que as ferramentas de segurança e equipas compreendam o comportamento normal vs anómalo. Neste caso, apenas 14.000 contas de alguns milhões foram comprometidas, mas as anomalias provavelmente teriam alertado para um possível ataque. Capturar o ataque cedo teria reduzido o número de vítimas individuais porque o atacante não teria tempo para roubar tantos dados. Tudo deve ser monitorizado e compreendido para que as equipas de segurança possam construir técnicas de deteção e prevenir estes ataques.  

Como prevenir estes ataques

Os ataques de stuffing de credenciais têm ocorrido desde sempre e vão piorar à medida que são disponibilizadas dumps de bases de dados mais recentes e maiores para atores de ameaças. As pessoas vão continuar a reutilizar senhas, e uma das melhores maneiras de prevenir isto é ter uma integração com um terceiro como o HIBP ou a proteção da Barracuda Application Protection, que pode identificar e bloquear a criação de contas com senhas comprometidas.

Também é necessário haver outros mecanismos implementados, especialmente quando tem vários serviços a comunicar entre si. Nesta violação, as 14000 contas violadas foram um caminho para os dados de vários milhões de utilizadores. Este tipo de sistema necessita de um zero trust ou outra relação protetora onde o acesso aos dados é controlado, monitorizado e bloqueado quando são detetados comportamentos anómalos.

Barracuda Application Protection inclui Proteção de Conta Privilegiada, que monitoriza e aprende os padrões de inícios de sessão de contas e alterações de contas. Esta funcionalidade alerta as equipas de segurança quando são detetados comportamentos anómalos. As equipas podem então rever esses comportamentos e investigar a causa. É assim que se identificam e bloqueiam ataques lentos e furtivos como esta violação de stuffing de credenciais.

Os atacantes não são estúpidos. Não vão atacar com um único bot ou um único utilizador a passar por um despejo de senhas e a atacar a partir de um único endereço IP. Estes ataques são automatizados, operando através de dezenas de milhares de dispositivos em dezenas de milhares de endereços IP. É necessário ter proteção robusta contra stuffing de credenciais e outros ataques de aplicações.

Proteger os seus utilizadores é sempre muito crítico para qualquer empresa e provavelmente mais importante do que qualquer outra coisa. Se os dados dos utilizadores forem violados através da sua empresa, poderá enfrentar multas pesadas e outras penalidades regulatórias. Poderá enfrentar processos judiciais dispendiosos que se arrastam por muitos anos. A reputação da sua marca e o futuro do seu negócio estão em risco após uma violação de dados. Provavelmente já sabe disso. Essa empresa de DNA também sabia.

Proteger os logins dos utilizadores é uma responsabilidade partilhada. A parte da empresa nesta responsabilidade é reduzir a superfície de ataque de violação o máximo possível. Isto significa implementar MFA, monitorizar anomalias e implementar um mecanismo que defenda as contas de credenciais comprometidas no momento da criação e durante todas as tentativas de login subsequentes. Estes são apenas alguns dos muitos passos que pode tomar para proteger os seus clientes e o seu negócio. Esta é a responsabilidade da empresa. Em circunstância alguma deve uma empresa ignorar as melhores práticas e depois punir as vítimas quando a empresa é violada.