Violações de dados aumentaram drasticamente no terceiro trimestre de 2021

O número de indivíduos afetados por uma violação de dados no terceiro trimestre de 2021 superou o número total de vítimas no primeiro semestre do ano. O aumento deveu-se a 26 casos em que as bases de dados em cloud não estavam seguras. Segundo o Identity Theft Resource Center (ITRC), nos primeiros nove meses de 2021, 281,5 milhões de pessoas foram afetadas por violações de dados, exposições de dados e fugas de dados, mais de 90% do total de 310,1 milhões de vítimas em 2020.

Cerca de 215,4 milhões de indivíduos foram afetados pelas dez maiores violações de dados de 2021, indica o ITRC. Três das dez maiores falhas visaram empresas tecnológicas, com duas vítimas nos serviços financeiros e outros, e uma vítima em manufatura e utilities, serviços profissionais e retalho. Além disso, dados sensíveis foram expostos em quatro das dez maiores violações de dados.

O site CRN compilou um top dez das piores violações de dados. No topo do pódio está a violação de dados à empresa de marketing B2B OneMoreLead, que impactou um total de 63 milhões de indivíduos. Em causa, estava uma base de dados completamente exposta a intrusões, que resultou na exposição de informações pessoais, desde nomes a endereços de email, explicou a equipa de investigadores da vpnMentor, que fez a descoberta em agosto. Adicionalmente, os investigadores encontram inúmeros emails .gov e da polícia nova-iorquina na base de dados, pelo que uma infiltração daria acesso a agências críticas governamentais. 

Segue-se o ataque aos sistemas da T-Mobile em agosto, que comprometeu informações pessoais (nomes, cartas de condução, números de identificação civil, da segurança social, etc.) de 47,8 milhões de passados, presentes e futuros clientes da empresa. Segundo a T-Mobile, os atacantes utilizaram o seu conhecimento de sistemas técnicos, juntamente com ferramentas e capacidades especializadas, para ganhar acesso aos ambientes de teste da empresa, forçando, depois, a entrada nos servidores de IT. Após ganhar consciência da intrusão, a T-Mobile afirma que encerrou os pontos de acesso. 

O bronze foi para uma desconhecida base de dados de marketing que continha informações pessoais de 35 milhões de indivíduos, de várias cidades norte-americanas, que estavam expostas sem palavra-passe, a qualquer pessoa com internet e um browser. A descoberta foi feita pelos investigadores da Comparitech a 26 de julho e a base de dados foi encerrada um dia depois, pela AWS, host do servidor.

Em quarto lugar pertence à ParkMobile, numa falha em março ligada a um software de terceiros que a empresa utilizava. Depois de descoberta a vulnerabilidade, a empresa descobriu, durante a investigação, que foram acedidas informações pessoais como matrículas de veículos, moradas ou números de telemóvel e, em alguns casos, endereços de email, impactando um total de 21 milhões de pessoas. 

Já o quinto lugar foi para a ClearVoiceResearch.com, que percebeu, em abril, que um utilizador não autorizado tinha publicado uma base de dados online que continha informação pessoal de participantes em inquéritos do site, entre agosto e setembro de 2015 e estava a vender os dados. A violação de dados impactou 15,7 milhões de cidadãos e uma hora depois de tomar conhecimento da intrusão, a ClearVoice localizou o ficheiro backup, protegeu-o, eliminou a exposição do ficheiro na cloud e forçou a renovação de palavra-passe dos membros cuja informação poderia ter sido exposta. 

Segue-se a violação de dados da Jefit, uma aplicação de exercício, que impactou 9,05 milhões de pessoas. A falha foi descoberta em março que ocorreu devido a um bug de segurança que impactou contas registadas antes de setembro de 2020. O invasor ganhava acesso à conta, nome de utilizador, email associado, palavra-passe encriptada e endereço IP associado à criação da conta. Segundo a empresa, foram tomada medidas de imediato para proteger os servidores e as contas visadas e confirmou que outros sistemas Jefit não teriam sido afetados.

Em sétimo lugar surge a violação de dados à Robinhood, com um impacto total de sete milhões de indivíduos, em novembro, quando um intruso se fez passar por um colaborador do apoio ao cliente por telemóvel e ganhou acesso aos sistemas do apoio, cinco dias antes da falha ser descoberta. O atacante obteve acesso a uma lista de endereços de email de cinco milhões de pessoas e nomes completos de um grupo de dois milhões de indivíduos. Depois de conterem a intrusão, a Robinhood afirmou que os atacantes exigiram pagamentos de resgate. 

De seguida, em oitavo lugar, surge um ataque em dezembro de 2020 que impactou 6,76 milhões de pessoas. Os hackers juntaram exploits de múltiplas vulnerabilidades zero-day no produto legacy Accellion File Transfer Appliance (FTA) e extraiu dados, exigindo um pagamento. O site do grupo de ransomware Clop foi utilizado para publicar algumas das informações roubadas, no sentido de encorajar a extorsão. Pelo menos nove organizações da área da saúde foram afetadas pela violação de dados da Accellion.

Em nono lugar, num impacto de 5,72 milhões de pessoas, a Infinity Insurance descobriu em março que um intruso teria tido um breve acesso a ficheiros nos servidores da rede da empresa durante dois dias em dezembro de 2020, que continham números de segurança social e cartas de condução, incluindo de funcionários da empresa. 

Por fim, a violação de dados ao Grupo Neiman Marcus fecha o top dez, com o impacto de 4,35 milhões de indivíduos. Em setembro, a empresa revelou que um intruso teria obtido acesso a informações de contas de clientes em maio de 2020, que incluem nomes de detalhes de contacto ou números de cartões de pagamento, dizendo, ainda, que teriam notificado as forças policiais sobre a falha. 

"Embora o número total de violações de dados tenha diminuído ligeiramente no terceiro trimestre, estamos apenas a 238 violações de dados de um recorde de violações de dados em apenas um ano", disse Eva Velasquez, Presidente e CEO do ITRC. "Também é interessante notar que 1.111 violações de dados de ciberataques este ano excedem o número total de violações de dados de várias causas em 2020. Toda a gente precisa de continuar a praticar uma boa ciberhigiene para se protegerem a si próprios e aos seus entes queridos, à medida que estes crimes continuam a aumentar”, completa.