O termo vazamento de dados é utilizado quando informações sensíveis que estão em poder de uma empresa, órgão público ou pessoa são expostas na Internet. Normalmente essa fuga de dados acontece por falta de conhecimento sobre segurança da informação por parte de quem efetivamente manipula os dados. Como veremos nos exemplos abaixo, muitos caminhos levam até a exposição das informações, abordarei alguns que considero serem as principais portas de entrada para esse tipo de ameaça. Vamos a eles:
#1 Vazamento por disponibilização insegura de serviço
- Cenário: Em meio a pandemia, uma empresa precisa fazer com que seus funcionários trabalhem remotamente. Como essa empresa não possui uma área interna dedicada à segurança da informação, a responsabilidade do andamento do projeto será da equipe de tecnologia. Essa equipe, por sua vez, configura o firewall para que a porta do RDP seja direcionada diretamente da Internet para o servidor Windows, e assim todos os funcionários já conseguem se conectar de suas casas diretamente na rede da empresa.
- Pontos de vazamento: Expor um servidor RDP na Internet abre margem para 2 ataques amplamente relacionados a casos de vazamento de dados, o brute force e a exploração de vulnerabilidades. Independente da técnica usada pelo criminoso, caso o ataque seja bem-sucedido, ele terá acesso direto a um servidor da empresa, e normalmente esse acesso tem privilégios administrativos, o que significa que soluções de segurança poderão ser desabilitadas. De modo geral, o criminoso será o novo dono do servidor. Por ser um servidor de conexão de muitas pessoas, ele poderá abrigar diversas informações confidenciais, mas se não for esse o caso, o criminoso também poderá usar as mesmas credenciais administrativas para acessar outras máquinas da rede em busca de dados sensíveis.
- Como evitar: Sempre que possível, não deixe servidores expostos diretamente na Internet, ao invés disso utilize soluções intermediárias como VPNs ou portais de conexão no estilo Remote PC Access, que impedem ataques direcionados ao seu servidor interno. Usando ou não uma conexão direta aos servidores, é interessante manter as senhas de todos os usuários e administradores em um nível de segurança aceitável, com muitos caracteres, utilizando em sua composição maiúsculas, minúsculas, números e caracteres especiais, isso auxiliará a impedir que os criminosos tenham sucesso no ataque às senhas.
#2 Vazamento por adoção de serviço em nuvem
- Cenário: Algumas migrações estão acontecendo nos servidores da empresa e as equipes de RH, financeiro e jurídico precisaram de mais espaço de armazenamento para seus arquivos. Para não precisar passar pelo processo de compra de hardware, a equipe responsável optou por contratar um serviço de armazenamento em nuvem, apenas pelo período de transição. O processo demorou um pouco mais do que o previsto e os dados foram sendo acessados pelas equipes diretamente no servidor de armazenamento em nuvem.
- Possíveis vazamentos: Apesar de boa parte dos serviços de armazenamento possuir configurações adicionais de segurança, nem sempre essas opções estão habilitadas por padrão. Isso faz com que sua utilização se torne mais simples para os usuários, mas também traz uma série de riscos para os dados. Nesse caso, a utilização do servidor de arquivos será totalmente desprotegida e qualquer pessoa que souber o endereço de acesso do servidor conseguirá ver os dados de três setores críticos de uma empresa, todos eles contendo uma série de informações sensíveis.
- Como evitar: Antes de utilizar qualquer serviço em nuvem, seja armazenamento, e-mail, acesso remoto ou quaisquer outros, veja quais recursos de segurança ele possui nativamente e quais recursos seriam possíveis implementar para que o serviço se torne ainda mais seguro, como um duplo fator de autenticação, por exemplo. Adotar medidas de proteção e controle de acessos aumenta significativamente o nível de segurança do ambiente.
Veja mais: Falha no servidor da FutebolCard ocasiona vazamento de dados de sócios do Palmeiras
#3 Vazamento por falha em sistemas de cadastro
- Cenário: A empresa X deseja realizar um sorteio de ótimos prêmios para o Natal, e para isso disponibilizou um site de cadastro com o intuito de que seus clientes possam participar. A campanha se iniciou e foi um sucesso, mais de 70% dos clientes do estabelecimento cadastraram dados como nome, telefone, CPF, RG, e-mail e endereço residencial. Em alguns dias, a empresa fará o sorteio dos prêmios entre os inscritos.
- Possíveis vazamentos: Esse cenário não é tão comum quanto os outros, mas ainda assim se repete frequentemente, seja para um e-commerce ou um sistema de cadastro de usuários voltado a fidelização de clientes, descontos, participação em sorteios ou quaisquer necessidades que a empresa tenha de fornecer um perfil para seus clientes ou funcionários. Nesse caso, a empresa não configurou adequadamente o sistema de cadastros, apesar de cada pessoa possuir um número único de identificação, esses números são sequenciais. Isso aliado a uma má configuração de permissões faz com que qualquer pessoa que tenha acesso a plataforma possa ir em seu perfil, alterar sua identificação de usuário, que nesse caso está explicita no endereço da URL do site, e ver todos os dados cadastrais de quaisquer outros usuários.
- Como evitar: Uma série de medidas pode ser tomada para evitar esse tipo de vazamento, configurar adequadamente os acesso ao banco de dados, utilizar números de identificação de usuários não sequenciais, permitir que uma sessão estabelecida tenha acesso apenas aos dados do usuário destinado a ela, melhorar a segurança do método de comunicação da página. Todas essas medidas evitarão que pessoas não autorizadas tenham acesso aos dados presentes em um banco de dados.
Casos de vazamentos de dados
Nos últimos meses, os incidentes de vazamento de dados ganharam destaque na imprensa local, principalmente após a Lei Geral de Proteção de Dados (LGPD) entrar em vigor. Entre eles, podemos destacar o caso que envolveu o Hospital Albert Einstein, a ENEL São Paulo, a Embraer, e o STJ, ou seja, tanto empresas privadas como órgãos públicos.
Existem muitos outros casos que poderiam ser citados, já que a possibilidade de vazamento de dados está em literalmente qualquer lugar, ainda assim esses exemplos ilustram bem o cenário desse tipo de incidente.
É importante nunca deixar de lado a conscientização, seja para quem lida diretamente com ferramentas de tecnologia, seja para quem as utiliza para executar outras funções de seu trabalho cotidiano.
Todos sem exceção devem entender a importância das informações e como tratá-las adequadamente.
Em caso de dúvida ou sugestões de temas relacionados à segurança da informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários deste artigo.
Veja mais: 4 consequências do vazamento de dados