Em nosso relatório “Tendências 2016: (In) Security Everywhere”, que detalha as principais modalidades do cibercrime (considerando este ano), o investigador sênior da ESET, Stephen Cobb falou sobre a haxposição, definindo-a como uma ameaça emergente com importantes implicações. Na publicação, é possível ver do que se trata e porque a consideramos uma importante tendência.
O que é a haxposição?
O termo “haxposição” surgiu da combinação dos clássicos: hacking e exposição de dados. Faz referência ao roubo de dados, por meio de ataques informáticos, com consequente divulgação pública ou vazamento desses dados privados. Dois casos ressonantes deram a Stephen Cobb a ideia para desenvolver este termo: as lacunas que sofreram Hacking Team e Ashley Madison.
A ideia central da haxposição é a que a intromissão ao sistema alvo não termine sendo apenas um roubo de dados em si ou mesmo uma potencial fonte de retorno econômico para os atacantes, mas que resulte na exposição desses dados, que são expostos de forma pública. Na maioria dos casos, este ataque acaba gerando dano à imagem da organização que foi vítima.
Considerando esses dois exemplos: quando vazaram 400 GB de informações confidenciais do Hacking Team, foi possível saber quem eram os clientes, que empresas e governos haviam adquirido a ferramenta de espionagem. Isto se transformou em um escândalo em torno do próprio grupo e para estes clientes.
Por outro lado, no caso do Ashley Madison, o ataque ao site de encontros extraconjugais colocou em evidência os 37 milhões de usuários registrados, entre eles funcionários do governo, empresários e simples pais de família cujos “affairs” (digitais ou físicos) se tornaram públicos. Além disso, os dados divulgados pareciam provar as acusações de que a empresa na realidade não eliminava os clientes da base de dados, apesar de cobrar dinheiro para isso.
Qual a motivação?
Em ambos os casos, explica Cobb, as pessoas responsáveis pelos ataques estavam insatisfeitas com os modelos de negócio das empresas atacadas:
“Como não parece haver um motivo político nem moral por trás de nenhum dos incidentes, gostei da ideia de considerá-los como um novo nível de hacktivismo (...)
Com certeza, é razoável argumentar que o verdadeiro hacktivismo não inclui um pedido de resgate, assim como fizeram os atacantes no caso da Ashley Madison e da Sony. Quando os ladrões de dados pedem o pagamento de um resgate em troca de não publicar informações internas da empresa, agravam o roubo com a extorsão e excedem ao limite da ética.
E quando a ameaça implica na exposição de informações pessoais que pertencem aos funcionários ou aos clientes da empresa, se introduz um novo nível de irresponsabilidade.
A estratégia da haxposição representa uma ameaça potencialmente mais prejudicial para a empresa que a tradicional venda de dados roubados. O que agrava a questão é a presença não apenas de dados pessoais clássicos como nomes, endereços e telefones, como também de 'perigosos segredos' que prejudicariam a imagem de uma organização".
Como se prevenir da haxposição? Algumas dicas práticas
Sempre é melhor prevenir que remediar e neste caso é importante tomar medidas de segurança básicas que podem ser aplicadas a qualquer empresa:
- Um bom sistema de autenticação
- Uma solução de segurança e um antimalware
- Criptografia
- Planos de backup e de recuperação contra desastres
- Um plano de resposta contra incidentes
- Monitoramento de ameaças internas (uma pessoa de confiança com acesso privilegiado pode causar muito mais problemas que milhares de atacantes externos; pense no caso da Snowden e a NSA)
Além disso, as empresas devem manter altos níveis de transparência em suas operações, sempre que seja possível, de maneira que não gerem motivações desnecessárias para o roubo de segredos ou exposição de informações que pertencem à organização.