O caso Ashley Madison: Porque isso pode afetar a SUA segurança

Ashley Madson

Semanas atrás tivemos a notícia que uma rede social famosa, a Ashley Madison, foi invadida e os dados de 37 milhões
de usuários foram vazados. Ainda não existem detalhes técnicos sobre o(s) ataque(s) utilizados. Mas existe uma boa
noção do “estrago” que o mesmo é capaz de fazer. Porque? Vamos entender melhor.

A Ashley Madison é (ou era) uma rede social cujo objetivo era cadastrar pessoas que possuem relacionamentos
estáveis e querem “pular a cerca”. Isso mesmo. O “mote” da Ashley Madison é justamente o de permitir que pessoas
tenham a oportunidade de trair seus parceiros, com pessoas que também desejam fazer isso!Tanto que o slogan do
site é: “Life is short. Have an affair”. Algo como “a vida é curta. tenha um caso”.

É um tanto óbvio que, pelo menos a maioria dessas pessoas, buscava um local “seguro” para fazer isso, com pouca
ou nenhuma probabilidade de ser “descoberto”, certo? Tanto que a rede de relacionamentos cobrava um valor mensal
para garantir sua assinatura e, obviamente, a privacidade e segurança de seus dados e intenções.

Semanas atrás, toda essa “segurança” veio por água abaixo e os dados de TODOS os usuários do site foram roubados.
Quem já assistiu um treinamento ou palestra minha, sabe que gosto muito de usar a seguinte frase: “Informação é poder.
Se eu tenho informação sobre algo ou alguém, você tem PODER sobre ela.”
O grupo hacker que realizou o ataque bem sucedido ao Ashley Madison tem, hoje, PODER sobre 37 milhões de pessoas.

Aparentemente, a motivação do ataque foi de cunho “moral”. O grupo responsável pelo ataque pede que o Ashley Madison e o
establishedmen.com sejam retirados do ar, sob pena dos dados virem a público.

Excetuando os caracteres morais envolvidos, vamos analisar os pontos de vista do site (empresa) e dos usuários.

A empresa:

Um serviço dessa natureza implica em algo praticamente impossível de conseguir nos dias de hoje: Privacidade.
Além disso, os níveis de segurança para prestação de salvaguarda sigilosa de dados precisam ser bastante elevados,
com muitos cuidados à serem tomados.
E que possivelmente não foram.

Sem retirar o mérito dos atacantes, é papel da empresa garantir a segurança dos dados dos seus clientes.
Estamos falando não apenas do fim de muitos casamentos, como também do vazamento de números de cartão de crédito,
identificação digital, e-mail, fotos, dentre outros dados cadastrais.

E quais os cuidados que a empresa poderia ter tomado?? Não há como especificar com certeza, visto que os detalhes do ataque ainda não foram divulgados. Mas existem alguns pontos que auxiliam a grande maioria dos negócios à elevar seus níveis de segurança.
Sem me alongar muito no aspecto técnico, 3 itens básicos poderiam, ter “diminuido” o “estrago”.

1 – Estratégias de defesa em profundidade;
2 – Definição clara de processos e procedimentos, na manipulação de dados e sistemas;
3 – Treinamento e capacitação de usuários.

Vazamento de informações é algo bastante comum nos dias de hoje e , infelizmente, ignorado pela grande maioria

das empresas.
Na “vibe” do “ignorância é uma benção”, milhares de empresas tem seus dados roubados, todos os dias, e sequer sabem disso.

Sabemos que 100% de segurança é uma utopia. Mas , quanto mais crítico um sistema (e seus dados) é, maior deve ser o cuidado tomado.

Ao Ashley Madison, restam 2 possibilidades:

1 – Deixar o site no ar e arcar com as consequências dos 37 milhões de usuários em todo o mundo que possuem seus dados lá;
2 – Retirar o site do ar e encerrar suas operações relacionadas a “traição”.

Por uma possível ausência de cuidados de segurança, a empresa, provavelmente, encerrará suas operações.

Os usuários:

Você pagou para ter um serviço que, teoricamente, lhe proporcionaria privacidade. Todo mundo tem algo que não quer que ninguém saiba,
sem exceção. Alguém lhe ofereceu a possibilidade de expor isso, em um ambiente controlado, “livre de ameaças”. Você aceitou.
Agora, se vê na eminência de ter o mundo inteiro vendo aquilo que você não mostra a (quase) ninguém. Como proceder??
Nesse momento você deve estar se perguntando: “Certo, Alberto. E porque eu deveria me preocupar com isso, já que não tenho
perfil nessa rede que foi invadida?”

Para responder a essa pergunta, preciso que você SE pergunte o seguinte:

Enquanto empresa:

1 – Qual o meu tipo de negócio?
2 – Estou protegendo adequadamente as informações dos meus clientes e fornecedores?
3 – Estou preparado para enfrentar um incidente de segurança?
4 – Possuo ferramentas que me auxiliem no processo de proteção das minhas informações?
5 – Quanto custaria , para mim, “perder” informações de meus clientes?
6 – Eu tenho uma visão clara do percentual de risco que corro, de perda financeira ou fechamento da empresa, em caso de vazamento?

Se você responder à todas essas perguntas com SIM e com números consistentes baseados em análises prévias, você pode se preocupar
MENOS com casos como esse. Segurança DEVE ser sempre uma de nossas maiores preocupações.

Se você respondeu NÃO ou não possui os números correlatos, você está, sim, em GRANDE risco.

Enquanto usuário:

1 – Os sites nos quais eu possuo cadastro possuem regras claras sobre proteção das minhas informações?
2 – Cadastrei dados nos sites que, em caso de roubo, poderão me afetar de alguma forma (CPF,endereço físico,endereço eletrônico, foto,cartão de
crédito, etc)?
3 – Estou certo de que as empresas com as quais faço negócios estão preocupadas com a proteção dos meus dados?
4 – A empresa com a qual faço negócios (online ou offline) possui métodos claros de proteção das minhas informações?

Se você você respondeu NÃO ou não possui as informações acima, você ESTÁ em grande risco.
E agora? O que eu faço??

Enquanto empresa:

1 – CONTRATE uma consultoria especializada em segurança COM URGÊNCIA e avalie seus processos, procedimentos e ativos de tecnologia;
2 – CAPACITE sua equipe de infraestrutura/segurança para saber como proceder em caso de incidentes de segurança;
3 – CAPACITE seus usuários! Eles são o elo mais fraco do processo e SEMPRE serão o MAIOR alvo dos ataques direcionados a você;
4 – SIM, QUALQUER empresa é um ALVO POTENCIAL para atacantes! Independentemente do seu nicho de mercado, esteja ATENTO as ameaças do mercado.

Lembre-se: A IMAGEM de sua empresa é tão importante quanto suas VENDAS! Se você não consegue cuidar das informações dos seus clientes, será que eles
continuarão a fazer negócios com você? Reflita.

Enquanto usuário:

1 – NÃO faça transações com sites desconhecidos ou novos! A chance de ser um golpe é sempre maior. Aguarde um pouco antes de realizar negócios
com empresas novas, mesmo que as vantagens sejam MUITO atrativas;
2 – CUIDADO com as informações cadastradas nos sites. PREFIRA sites que NÃO salvam informações de cartão de crédito por padrão;
3 – EVITE cadastrar os mesmos logins e senhas para todos os seus acessos. Eu sei, é chato lembrar de um milhão de senhas e logins diferentes.
Mas lembre-se: Se você usar os mesmos logins e senhas, se alguém descobre UM, descobriu todos.

Update: Enquanto escrevia esse artigo, foram divulgados mais de 20Gb de dados coletados pelos atacantes do Ashley Madison na internet, provando a veracidade de suas informações e intenções.

Leia mais aqui: http://www.wired.com/2015/08/happened-hackers-posted-stolen-Ashley-madison-data/

COMPARTILHAR: