Cultura, nerdices e outras coisitas mas... ;D

quinta-feira, janeiro 03, 2008

Falhas catastróficas de 2007

Olá, pessoal! Como estudo Segurança da Informação quero compartilhar com vocês algumas falhas catastróficas de 2007. Com certeza ficarão na memória por um bom tempo!
A Computerworld fez o que eu chamo de "Top 5" das piores brechas na segurança em 2007.
A notícia já tem uns dias, mas vale a pena conferir.
Vamos a elas, então!

O caso TJX Companies Inc.: Em 2006 foi o roubo de registros do Department of Veterans Affairs (DVA). Em 2007 o prêmio (de consolação) foi para o segmento comercial: a empresa de varejo TJX. A falha na segurança divulgada em janeiro (vários meses após o fato) foi a maior envolvendo dados de cartão de crédito. A própria TJX declarou que mais de 45,6 milhões de cartões de clientes foram comprometidos em uma invasão que levou MAIS DE 18 MESES PARA SER DETECTADA! Os bancos que estão processando a companhia alegam que são 94 milhões de cartões e a maioria são Visa. Essa brecha, além de ter gerado vários processos e pedidos de leis mais rígidas para proteção de dados, provocou inúmeras utilizações fraudulentas de cartões.

DVA do Reino Unido: HM Revenue & Customs perde registros de 25 milhões de jovens. Em novembro, a HM Revenue & Customs do Reino Unido alcançou o status de caos do DVA quando perdeu discos de computador contendo informações pessoais (dados bancários e identidade) de 25 milhões de jovens que requeriam benefícios. Os discos, QUE NÃO ESTAVAM CRIPTOGRAFADOS, desapareceram a caminho do National Audit Office.


Fidelity National Information Services: Informações pessoais de mais de 8,5 milhões de pessoas foi comprometida quando o administrador sênior de banco de dados da Certegy Check Services Inc., subsidiária da Fidelity National, baixou dados ilegalmente e vendeu-os a corretores. A Fidelity National (que é separada da Fidelity Investments, mais conhecida) divulgou em julho que apenas 2,5 milhões de registros foram comprometidos. Algumas semanas depois, SEM ALARDE (e tranqüilamente), aumentou o número para 8,5 milhões em documentos encaminhados à Comissão de Valores Mobiliários e Câmbio (Securities and Exchange Commission – SEC) dos Estados Unidos. De acordo com a empresa, tudo indica que os dados roubados foram revendidos principalmente para fins de marketing direto e não para apropriação de identidade ou algum outro tipo de fraude.

Gente, mas que seja! Ninguém é obrigado a ter sua privacidade invadida para ficar recebendo anúncios, propagandas, etc... isso incomoda e muito!!!

TD Ameritrade Holding Corp.: A corretora Ameritrade revelou em setembro que alguém tinha invadido um dos seus sistemas e roubado informações de contato como nomes, endereços e números de telefone de seus mais de 6,2 milhões de clientes de varejo e institucionais. Entretanto, os números do Seguro Social e de contas bancárias, que estavam armazenados no mesmo banco de dados, continuaram intocados (meio difícil, hein?). Os dados roubados foram usados para envio de spam relacionado a ações.

Spam outra vez!!!!!!! Aí não dá!!!!!

Monster.com: Nomes, endereços de e-mail, endereços postais, números de telefone e dados de identificação de currículos de cerca de 1,6 milhão de candidatos a emprego foram acessados a partir do banco de dados de currículos do portal de empregos Monster.com em agosto. O caso foi amplamente divulgado como hacking, mas na verdade a informação foi acessada por atacantes com nomes de usuários e senhas legítimos, provavelmente roubados de recrutadores profissionais e pessoal de recursos humanos que usavam o Monster.com para procurar candidatos a emprego. Números de Seguro Social e dados financeiros não foram comprometidos (espera-se que não, heheheh).


Verdadeiramente, esse é "hall da vergonha". Como vamos nos sentir seguros fornecendo nossos dados a algumas empresas?


Fonte: Computerworld

segunda-feira, dezembro 31, 2007