No ano passado, compilamos uma lista de As violações de dados mais mal tratadas de 2022 olhando para trás, para o mau comportamento dos gigantes corporativos quando confrontados com hacks e violações. Isso incluiu tudo, desde minimizar o impacto no mundo real do vazamento de informações pessoais e não responder a perguntas básicas.
Acontece que este ano, muitas organizações continuam a cometer os mesmos erros. Aqui está o dossiê deste ano sobre como não responder a incidentes de segurança.
A Comissão Eleitoral escondeu detalhes de um grande hack por um ano, mas ainda de boca fechada
A Comissão Eleitoral, o órgão responsável pela supervisão das eleições no Reino Unido, confirmado em agosto que tinha sido alvo de “atores hostis” que acederam aos dados pessoais – incluindo nomes completos, endereços de correio eletrónico, endereços residenciais, números de telefone e quaisquer imagens pessoais enviadas à Comissão – de cerca de 40 milhões de eleitores do Reino Unido.
Embora possa parecer que a Comissão Eleitoral foi franca sobre o ataque cibernético e o seu impacto, o incidente ocorreu em Agosto de 2021 – há cerca de dois anos – quando os hackers obtiveram acesso pela primeira vez aos sistemas da Comissão. Demorou mais um ano para a Comissão apanhar os hackers em flagrante. A BBC informou no mês seguinte que o cão de guarda falhou em um teste básico de segurança cibernética na mesma época em que os hackers conseguiram entrar na organização. Ainda não foi revelado quem realizou a intrusão – ou se é conhecido – e como a Comissão foi violada.
A Samsung não diz quantos clientes foram atingidos pela violação de dados que durou um ano
A Samsung mais uma vez entrou na nossa lista de violações mal tratadas. A gigante da eletrônica mais uma vez adotou sua típica abordagem discreta quando confrontada com questões sobre uma violação de seus sistemas que durou um ano e que deu aos hackers acesso aos dados pessoais de seus clientes baseados no Reino Unido. Numa carta enviada aos clientes afetados em março, a Samsung admitiu que os atacantes exploraram uma vulnerabilidade numa aplicação comercial de terceiros não identificada para aceder a informações pessoais não especificadas de clientes que fizeram compras na sua loja no Reino Unido entre julho de 2019 e junho de 2020.
Na carta, a Samsung admitiu que só descobri o compromisso mais de três anos depois em novembro de 2023. Quando questionada pelo TechCrunch, a gigante da tecnologia se recusou a responder a mais perguntas sobre o incidente, como quantos clientes foram afetados ou como os hackers conseguiram obter acesso aos seus sistemas internos.
Hackers roubaram dados do Shadow e Shadow ficou em silêncio
O provedor francês de jogos em nuvem Shadow é uma empresa que faz jus ao seu nome, pois uma violação de outubro na empresa permanece envolta em mistério. A violação fez com que os invasores realizassem um “ataque de engenharia social avançado” contra um dos funcionários da Shadow que permitiu acesso aos dados privados dos clientes, de acordo com um e-mail enviado aos clientes afetados da Shadow.
No entanto, o impacto total do incidente permanece desconhecido. TechCrunch obteve uma amostra de dados acredita-se que tenha sido roubado da empresa que continha 10.000 registros exclusivos, que incluía chaves de API privadas que correspondem às contas dos clientes. Quando questionada pelo TechCrunch, a empresa recusou-se a comentar e não disse se havia informado o regulador francês de proteção de dados, CNIL, sobre a violação, conforme exigido pela legislação europeia. A empresa também não conseguiu divulgar a notícia da violação fora dos e-mails enviados aos clientes afetados.
Lyca Mobile se recusou a dizer que tipo de ataque cibernético ocorreu
Lyca Mobile, operadora de rede móvel virtual com sede no Reino Unido, disse em outubro que havia foi alvo de um ataque cibernético que causou perturbações generalizadas para milhões de seus clientes. Lyca Mobile mais tarde admitiu uma violação de dadosem que invasores não identificados acessaram “pelo menos algumas das informações pessoais mantidas em nosso sistema” durante o hack.
Já se passaram mais de dois meses e a Lyca Mobile ainda não informou quais dados foram roubados de seus sistemas (apesar de armazenar informações pessoais confidenciais, como cópias de carteiras de identidade e dados financeiros), ou quantos de seus 16 milhões de clientes foram afetados. pela violação. Apesar dos repetidos pedidos do TechCrunch, a empresa também se recusou a comentar sobre a natureza do incidente, apesar de o incidente ter sido apresentado como ransomware.
MGM Resorts ainda não informou quantos clientes tiveram dados roubados após hack
A violação do MGM Resorts é uma das mais memoráveis de 2022; o incidente fez com que hackers associados a uma gangue conhecida como Scattered Spider comprometessem os sistemas da empresa para causar semanas de interrupção nos hotéis e cassinos da MGM em Las Vegas. A MGM disse que a interrupção custará à empresa pelo menos US$ 100 milhões.
A MGM divulgou pela primeira vez que havia sido alvo de hackers em 11 de setembro. Mas foi somente em outubro que a empresa confirmou em um documento regulatório que os invasores obtiveram algumas informações pessoais pertencentes a clientes que fizeram transações com MGM Resorts antes de março de 2019. Isso inclui nomes de clientes, informações de contato, sexo, datas de nascimento, números de carteira de motorista e números de seguro social e varreduras de passaporte para alguns clientes.
Já se passaram mais de três meses e ainda não sabemos quantos clientes da MGM foram afetados. Os porta-vozes da MGM recusaram-se repetidamente a responder às perguntas do TechCrunch sobre o incidente.
A violação da louça pode afetar milhões – potencialmente muito mais
Em fevereiro, a gigante da TV via satélite Dish confirmou em um documento público que um ataque de ransomware era o culpado por uma interrupção contínua e alertou que os hackers exfiltraram dados de seus sistemas que pode ter incluído informações pessoais dos clientes. No entanto, a Dish não forneceu nenhuma atualização substancial desde então, e os clientes ainda não sabem se suas informações pessoais estão em risco.
O TechCrunch aprendeu que, apesar do silêncio da empresa, o impacto da violação poderia se estender muito além dos cerca de 10 milhões de clientes da Dish. Um ex-varejista da Dish disse ao TechCrunch que A Dish retém uma grande quantidade de informações dos clientes em seus servidores, incluindo nomes de clientes, datas de nascimento, endereços de e-mail, números de telefone, números de Seguro Social e informações de cartão de crédito. A pessoa disse que essas informações são retidas indefinidamente, mesmo para clientes em potencial que não passaram na verificação de crédito inicial da Dish.
CommScope atrasou-se para informar a seus próprios funcionários que seus dados foram roubados
TechCrunch ouvido de Funcionários da CommScope que dizem que ficaram no escuro sobre uma violação de dados na empresa afetando suas informações pessoais. A empresa com sede na Carolina do Norte, que projeta e fabrica produtos de infraestrutura de rede para diversos clientes, foi alvo da gangue de ransomware Vice Society em abril. Dados vazados pela gangue, e revisado por TechCrunchincluiu dados pessoais de milhares de funcionários da CommScope, incluindo nomes completos, endereços postais, endereços de e-mail, números pessoais, números de seguro social, digitalizações de passaportes e informações de contas bancárias.
A CommScope se recusou a responder às nossas perguntas relacionadas ao vazamento de dados dos funcionários e também não respondeu às pessoas afetadas. Vários funcionários disseram ao TechCrunch na época que Os executivos da CommScope permaneceram calados sobre a violaçãodizendo que pouco além de “não há evidências” que sugiram que dados de funcionários estavam envolvidos.
