(79) 3016-1070 | (79) 3302-1777
Seg. a Sex. das 08:00 as 12:00 e das 14:00 as 17:30

Se até mesmo as empresas altamente tecnológicas e seguras sofrem ataques cibernéticos, por que a maior parte das empresas brasileiras ainda não buscaram adequações de segurança da informação e privacidade?


17/11/2022 16:13
Compartilhar no Whatsapp

O site The Hacker News, recentemente (02/11/2022), publicou uma notícia sobre relevante caso de violação ocorrida no Dropbox (CONFIRA AQUI).

O noticiário destacou, conforme divulgação do próprio Dropbox, que a empresa foi vítima de uma campanha de phishing, a qual possibilitou que agentes de ameaças, não identificados, obtivessem acesso não autorizado a 130 de seus repositórios de código-fonte no GitHub.

Antes de continuar o importante caso de violação de segurança, é válido destacar alguns termos não muito comuns:

·          PISHING significa um tipo de engenharia social em que um invasor envia uma mensagem fraudulenta projetada para induzir uma pessoa a revelar informações confidenciais ao invasor ou a implantar software malicioso na infraestrutura da vítima. Neste caso, geralmente o invasor induz a vítima a clicar em um link malicioso que fará o download de malware ou irá direcioná-lo para um site falso;

·          DROPBOX é uma plataforma digital que oferece serviços de armazenamento em nuvem, backup de dados e assinatura de documentos. Atualmente, a empresa tem mais de 17,37 milhões de usuários pagantes e 700 milhões de usuários registrados;

·          GITHUB é um serviço de hospedagem na Internet para desenvolvimento de software e controle de versão, com controle de acesso, rastreamento de bugs (falhas), solicitações de recursos de software, gerenciamento de tarefas, integração contínua e wikis (página que permite alterações por usuários autorizados) para cada projeto.

Esclarecidos esses termos, voltamos para a análise da violação de acesso do Dropbox. Conforme revelou a empresa, acerca dos 130 repositórios acessados:

Esses repositórios incluíam nossas próprias cópias de bibliotecas de terceiros levemente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados ??pela equipe de segurança.

A violação resultou no acesso de algumas chaves de API usadas pelos desenvolvedores do Dropbox, bem como alguns milhares de nomes e endereços de e-mail pertencentes a funcionários do Dropbox, clientes atuais e anteriores, líderes de vendas e fornecedores.

Apesar da gravidade da violação, a empresa informou que os repositórios indevidamente acessados não continham código-fonte relacionado a seus principais aplicativos ou infraestrutura.

Sobre a forma de abordagem dos invasores, destacou-se que a divulgação da violação ocorreu aproximadamente um mês depois que o GitHub e o CircleCI (outra plataforma de integração contínua e entrega contínua usada para implementar práticas no desenvolvimento de softwares) alertaram sobre ataques de phishing projetados para roubar credenciais do GitHub por meio de notificações falsas.

Os representantes do Dropbox também observaram que, no início de outubro, "vários usuários do Dropbox receberam e-mails de phishing representando a CircleCI". Alguns desses ataques escaparam dos filtros de spam automatizados e chegaram às caixas de entrada de e-mail dos funcionários.

Neste sentido, declarou o Dropbox que:                      

Esses e-mails de aparência legítima direcionavam os funcionários a visitar uma página de login falsa do CircleCI, inserir seu nome de usuário e senha do GitHub e, em seguida, usar sua chave de autenticação de hardware para passar uma senha única (OTP) para o site malicioso.

Ainda conforme a empresa violada, não houve evidências de que algum dado de cliente tenha sido roubado como resultado do incidente, tendo acrescentado que está atualizando seus sistemas de autenticação de dois fatores para oferecer suporte a chaves de segurança de hardware para resistência a phishing.

O Dropbox também reconheceu que:

Mesmo o profissional mais cético e vigilante pode ser vítima de uma mensagem cuidadosamente elaborada, entregue da maneira certa e na hora certa. [...] É precisamente por isso que o phishing continua tão eficaz.

Pois bem, tratou-se de um ataque hacker, por meio de uma ferramenta simples, mais extremamente eficaz, ainda que diante dos mais preparados e especialistas profissionais da área.

A empresa não revelou quantos de seus funcionários caíram no ataque de phishing, mas disse que tomou medidas imediatas para alternar todas as credenciais de desenvolvedor expostas e que alertou as autoridades policiais.

Neste ponto é que ocorre o maior ponto de conexão entre o que aconteceu com o Dropbox e o quanto as empresas brasileiras, em sua maioria, estão vulneráveis e despreparadas para reagir a um eventual ataque cibernético, situação que pode colocar em risco não só a sua reputação, mas também a própria existência.

Isso porque, o Dropbox tinha todo um plano definido para reagir, informar às autoridades e divulgar a violação e as medidas adotadas para minimizar o ataque. No Brasil, a Lei Geral de Proteção de Dados, conforme destacado em vários textos nossos, está em pleno vigor e exige que as empresas tenham planos e relatórios de impactos tanto para evitar, quanto para mensurar eventuais danos e minimizar as consequências de eventual ataque.

Ademais, a ANPD está em fase final de aprovação da minuta de resolução sobre o Regulamento de Dosimetria e Aplicação de Sanções Administrativas e, conforme a minuta, a ANPD visa, dentre outras medidas, construir um modelo de aplicação de sanções que:

·           induza o comportamento adequado conforme a LGPD, recompensando os regulados virtuosos, ou seja, aqueles que cumprem a regulação, oferecendo orientação e promovendo a conscientização, e crie espaços para construção de soluções negociais e atingimento da plena conformidade;

·           dê à ANPD um espaço flexível e amplamente transparente para o emprego ágil de meios e ferramentas, sempre vinculados ao escopo de sua atuação.

 Diante de todas essas circunstâncias, importante a reflexão proposta no título:  por que a maior parte das empresas brasileiras ainda não buscaram adequações de segurança da informação e privacidade?

Será que estão aguardando sofrerem multas multimilionárias? Mas se a própria adequação e esforços para a adequação a LGPD serão observados e compensados na hipótese de um eventual incidente, por que não já foram realizadas as medidas mínimas e iniciais de adequação? E por que não começar agora? Será válido correr esse risco?

Fica a reflexão. Em breve traremos mais novidades e informações relevantes sobre LGPD, Segurança da Informação e Direito Digital.

 

Fontes:

·         https://thehackernews.com/2022/11/dropbox-breach-hackers-unauthorizedly.html

https://www.gov.br/participamaisbrasil/regulamento-de-dosimetria-e-aplicacao-de-sancoes-administrativas