Foram violados 3 mil milhões de registos. Que lições podemos tirar deste espetacular ataque?

A National Public Data (NPD) é uma empresa que fornece verificações de antecedentes. O que significa que mantém uma vasta base de dados com informações sobre centenas de milhões de pessoas, tanto vivas como falecidas, incluindo nomes, endereços, endereços de e-mail, números de telefone e números de segurança social.

Em agosto, um hacker chamado Fenice divulgou quase 3 mil milhões de registos (incluindo dados duplicados) que foram roubados da NPD numa violação que pode remontar a dezembro de 2023.

Embora alguns detalhes do que aconteceu ainda sejam motivo de disputa, e muito ainda esteja por ser decidido nos potenciais processos judiciais e desafios legais contra a NPD e sua empresa-mãe Jerico Pictures Inc., os fundamentos do que aconteceu são bastante claros—e há algumas lições importantes a retirar do incidente.

Primeiro que tudo

Como indivíduo, vai querer descobrir se os seus dados pessoais estão incluídos na violação e tomar medidas para se proteger contra o roubo de identidade. Existem vários serviços que permitem pesquisar os seus dados na violação. Gosto do serviço fornecido por pentester.com. (Encontrou 16 versões dos meus dados, todas incluindo o meu número de segurança social.)

Em seguida, se os seus dados tiverem sido comprometidos, pode ir a cada uma das três principais agências de relatórios de crédito—Equifax, Experian, e TransUnion—e colocar um congelamento no seu relatório de crédito. Isto é gratuito e impede que ladrões de identidade tentem abrir novas contas de crédito em seu nome. Pode levantar o congelamento permanentemente ou temporariamente sempre que quiser, para que ainda possa solicitar crédito com relativa facilidade. Este artigo de Krebs on Security fornece muitos detalhes úteis sobre congelamentos de crédito.

Aliás, mesmo que não encontre os seus dados incluídos nesta violação em particular, há uma grande probabilidade de que os seus dados estejam por aí algures. Toda a minha família tem bloqueios nos nossos relatórios de crédito há anos. Torna-se um pouco mais inconveniente comprar um carro ou solicitar uma linha de crédito, mas não o suficiente para fazer uma diferença real. E proporciona uma paz de espírito considerável, sabendo que os piores tipos de roubo de identidade são muito menos prováveis.

Então, o que aconteceu? E pode ser evitado?

Como foi possível alguém ultrapassar a (presumivelmente) forte segurança da NPD para aceder a todos esses dados? Bem, acontece que este não foi um ataque complexo ou sofisticado. A NPD tinha um ficheiro .zip publicado no seu website que continha palavras-passe para a sua base de dados de back-end, e alguém encontrou-o, percebeu o que era e usou-o para roubar 3 mil milhões de registos.

Para uma descrição técnica mais detalhada do que estava onde e quem teve acesso, Krebs fornece um bom resumo aqui. Mas sim, no fundo, alguém cometeu um erro estúpido, e ninguém percebeu até que fosse demasiado tarde.

Agora, a primeira parte disso—alguém cometer um erro—não é evitável. Os erros acontecem, pelo menos enquanto houver seres humanos envolvidos.

Mas a segunda parte—ninguém notar o erro durante demasiado tempo—é absolutamente evitável. As auditorias de segurança rotineiras e frequentes, que incluem uma contabilidade rigorosa de todos os dados publicamente expostos através de websites e aplicações, devem fazer parte da prática de segurança de qualquer empresa.

E, na medida do possível, essas auditorias devem ser complementadas com monitorização automática de dados e ficheiros publicados ou armazenados em ambientes não seguros. Um desses serviços automáticos de que muitos clientes da Barracuda beneficiam é chamado Data Inspector, que examina todo o seu ambiente Microsoft 365 e encontra uma ampla variedade de dados sensíveis que estão armazenados de forma inadequada em locais que não são suficientemente seguros.

Isso reduz o seu risco de perda de dados, suporta a conformidade regulamentar e também revela qualquer malware que possa estar a espreitar despercebido nas suas implementações do SharePoint e OneDrive. Pode até executar uma análise gratuita do Data Inspector no seu Microsoft 365 agora mesmo, se desejar.

Adaptação à era pós-violação

Muito bem, uma lição desta incrível violação é que as pessoas cometem erros, e é preciso aceitar isso e incorporar a procura de erros na sua prática de segurança.

Mas, na minha opinião, há outra lição mais abrangente a retirar disto. É simplesmente que grandes quantidades de dados já foram violados e estão disponíveis para que os criminosos cibernéticos os utilizem como quiserem. Mesmo antes da violação da NPD, já tinham ocorrido inúmeras violações em que centenas de milhões de registos foram expostos.

E não são apenas nomes, números de telefone e números de segurança social. São também nomes de utilizador e credenciais. A verdade é que, se realmente quer proteger algo e controlar quem pode aceder, tem de começar com a suposição de que as credenciais não são suficientes - que, se ainda não foram roubadas, em breve o serão. Mesmo a autenticação multifator pode ser muito vulnerável a ataques modernos.

Em vez disso, o padrão de excelência para o controlo de acesso na era "pós-violação" é o acesso de confiança zero. O modelo de confiança zero está a ser rapidamente adotado por muitos dos seus pares, e se ainda não o considerou, deve fazê-lo.

A ideia básica de zero trust é que muitos parâmetros diferentes são constantemente monitorizados para garantir a identidade de qualquer pessoa que aceda a recursos digitais. Qualquer anomalia é sinalizada. Assim, se eu estiver a entrar na minha rede de trabalho com as minhas credenciais, mas a usar um dispositivo desconhecido, ou de uma localização inesperada, ou numa hora incongruente, isso é registado e pode acabar por ser considerado um indício de que algo está errado.

Acesso de confiança zero está incorporado num número crescente de soluções Barracuda e é um elemento fundamental da nossa nova oferta de plataforma SASE, SecureEdge.