Os 10 maiores incidentes de cibersegurança de 2023
33giga
No campo da cibersegurança, os atores das ameaças prosperaram em um cenário de contínua incerteza macroeconômica e geopolítica, utilizando ferramentas e criatividade para superar as defesas corporativas. De acordo com o Data Breach Investigations Report (DBIR) da Verizon, agentes externos são responsáveis pela grande maioria (83%) das violações, sendo o benefício econômico responsável por quase todas (95%). A ESET, especialista em detecção proativa de ameaças, analisou os 10 maiores incidentes de cibersegurança de 2023. Confira!
1. MOVEit
O modus operandi deste ataque é simples: utilizar uma vulnerabilidade de dia zero em um produto de software popular para acessar os ambientes dos clientes e, em seguida, extrair o máximo de dados possível para exigir um resgate. Não está claro quantos dados foram comprometidos nem quantas vítimas foram afetadas. No entanto, algumas estimativas apontam para mais de 2.600 organizações e mais de 83 milhões de pessoas. O fato de muitas dessas organizações serem, por sua vez, fornecedores ou prestadores de serviços de outras, agravou o impacto.
2. Comissão Eleitoral do Reino Unido
O regulador independente do Reino Unido para financiamento de partidos e eleições revelou em agosto que cibercriminosos haviam roubado informações pessoais de cerca de 40 milhões de eleitores no registro eleitoral. Alegou-se que o ataque foi "complexo", mas relatos subsequentes sugeriram que a postura de segurança da organização era deficiente, já que não havia passado por uma auditoria básica de segurança do Cyber Essentials. A culpa poderia ter sido de um servidor Microsoft Exchange desatualizado, embora não esteja claro por que a comissão demorou 10 meses para informar o público. Também afirmou que agentes de ameaças poderiam ter sondado sua rede desde agosto de 2021.
3. Serviço de Polícia da Irlanda do Norte (PSNI)
Este incidente se enquadra tanto na categoria de violação de dados quanto em um incidente com um número relativamente pequeno de vítimas que podem sofrer um impacto desproporcional. Em agosto, o PSNI anunciou que um funcionário havia acidentalmente publicado dados internos sensíveis no site WhatDoTheyKnow em resposta a uma solicitação de liberdade de informação (FOI). As informações incluíam nomes, patentes e departamentos de cerca de 10 mil oficiais e funcionários civis, incluindo aqueles que trabalham em vigilância e inteligência. Embora tenha ficado disponível por apenas duas horas antes de ser removido, esse tempo foi suficiente para que a informação circulasse entre os dissidentes republicanos irlandeses, que a disseminaram ainda mais. Dois homens foram libertados sob fiança após serem detidos por crimes de terrorismo.
4. DarkBeam
A maior violação de dados do ano foi a exposição de 3,8 bilhões de registros pela plataforma de risco digital DarkBeam após a desconfiguração de uma interface de visualização de dados Elasticsearch e Kibana. Um pesquisador de segurança percebeu o erro e notificou a empresa, que corrigiu o problema rapidamente. No entanto, não está claro por quanto tempo os dados estiveram expostos ou se alguém os acessou anteriormente com más intenções. Ironicamente, a base continha e-mails e senhas provenientes tanto de violações de dados relatadas anteriormente quanto de outras não relatadas. É mais um exemplo da necessidade de monitorar de perto e continuamente os sistemas para detectar configurações incorretas.
5. Conselho Indiano de Pesquisa Médica (ICMR)
Outra grande violação, uma das maiores da Índia, veio à tona em outubro, depois que um ator de ameaças colocou à venda informações pessoais de 815 milhões de residentes. Aparentemente, os dados foram extraídos do banco de testes COVID do ICMR e incluíam nome, idade, sexo, endereço, número de passaporte e Aadhaar (número de identificação do governo). Isso poderia fornecer aos cibercriminosos tudo o que precisam para tentar uma série de ataques de fraude de identidade. O Aadhaar pode ser usado na Índia como identificação digital e para o pagamento de contas e verificações de "Conheça seu cliente".
6. 23andMe
Um ator de ameaças afirmou ter roubado até 20 milhões de dados da empresa norte-americana de genética e pesquisa. Aparentemente, eles primeiro usaram técnicas de preenchimento de credenciais para acessar as contas dos usuários, basicamente utilizando credenciais previamente comprometidas que esses usuários haviam reciclado no 23andMe. No caso dos usuários que optaram pelo serviço DNA Relatives do site, a ameaça pôde acessar muitos mais dados de possíveis parentes. Entre as informações presentes no vazamento de dados estavam foto do perfil, sexo, ano de nascimento, localização e resultados de ascendência genética.
7. Ataques DDoS de restabelecimento rápido
Outro caso incomum envolveu uma vulnerabilidade de dia zero no protocolo HTTP/2 revelada em outubro, que permitiu a cibercriminosos lançar alguns dos maiores ataques DDoS já vistos. De acordo com o Google, esses ataques atingiram o pico de 398 milhões de requisições por segundo (rps), em comparação com a maior taxa anterior de 46 milhões de rps. A boa notícia é que gigantes da internet, como o Google e a Cloudflare, corrigiram a falha, mas as empresas que gerenciam sua própria presença na web foram instadas a seguir o exemplo imediatamente.
8. T-Mobile
A empresa de telecomunicações norte-americana sofreu muitas violações de segurança nos últimos anos, mas a revelada em janeiro é uma das maiores até agora. Afetou 37 milhões de clientes, cujos endereços, números de telefone e datas de nascimento foram roubados. Um segundo incidente revelado em abril afetou cerca de 800 clientes, mas incluiu muitos mais dados, como PINs das contas da T-Mobile, números de Seguro Social, dados de identificação do governo e códigos internos que a empresa usa para atender às contas dos clientes.
9. MGM International/Caesars
Dois dos nomes mais importantes de Las Vegas foram atacados com poucos dias de diferença pelo mesmo ransomware afiliado à ALPHV/BlackCat, conhecido como Scattered Spider. No caso da MGM, conseguiram acessar a rede através de uma investigação no LinkedIn e, em seguida, por meio de um ataque de vishing no qual se passaram pelo departamento de TI e solicitaram credenciais. No entanto, o ataque teve um custo significativo para a empresa. Ela foi obrigada a fechar sistemas informáticos essenciais, causando interrupções nas máquinas caça-níqueis, nos sistemas de gerenciamento de restaurantes e até mesmo nos cartões de acesso aos quartos por vários dias. A empresa estimou um custo de US$ 100 milhões. O valor para a Caesars não está claro, embora a empresa tenha admitido ter pago US$ 15 milhões aos extorsionários.
10. Vazamentos do Pentágono
O incidente mais recente afetou o exército dos Estados Unidos e serve como exemplo para qualquer grande organização preocupada com intrusos mal-intencionados. Jack Teixeira, de 21 anos, membro da ala de inteligência da Guarda Nacional Aérea de Massachusetts, vazou documentos militares extremamente sensíveis para impressionar sua comunidade no Discord. Posteriormente, esses documentos foram compartilhados em outras plataformas e reenviados pelos russos que acompanhavam a guerra na Ucrânia. Esses documentos forneceram à Rússia um tesouro de inteligência militar para sua guerra na Ucrânia e minaram a relação dos Estados Unidos com seus aliados. Teixeira conseguiu imprimir e levar para casa documentos de alto sigilo para fotografá-los e posteriormente enviá-los para a internet.