O problema do vazamento de PD para usuários de redes sociais e serviços da Web é cada vez mais discutido na mídia. Provavelmente todos ouviram a história com a empresa analítica Cambridge Analytica, que conseguiu obter dados pessoais de 87 milhões de usuários do Facebook (incluindo os
dados do próprio Mark Zuckerberg ).
No entanto, existem casos menos conhecidos com vazamentos de DP, cuja escala não é menor. Vamos dar uma olhada em alguns exemplos e discutir quais medidas os reguladores e as empresas de TI estão tomando em seus esforços para evitar esses incidentes.
/ foto Mike Rickard CCSituação de vazamento de dados pessoais
Em 2016, o número de casos de roubo de DP
aumentou 40%, em comparação com o ano anterior. No final da primavera de 2016, os hackers
venderam 360 milhões de credenciais de usuário para o MySpace. O mesmo destino
aconteceu com 164 milhões de endereços de e-mail e senhas da rede social LinkedIn e 100 milhões de
contas de usuários do vk.com .
E os "volumes" de vazamentos estão apenas crescendo. Como a InfoWatch, uma empresa de segurança da informação,
observou no primeiro semestre de 2017, 7,78 bilhões de registros com informações pessoais e de pagamento de usuários de serviços internacionais
foram comprometidos . Isso é quase oito vezes mais que no primeiro semestre de 2016 (1,06 bilhão) e duas vezes mais que em todo o ano de 2016 (3 bilhões). Além disso, hackers e funcionários da empresa (intencionalmente ou não) se tornam
responsáveis por vazamentos.
Por exemplo, os
hackers foram os
culpados pelo vazamento de usuários de PD dos usuários do Yahoo vários anos antes. Em 2014, eles roubaram os dados pessoais de mais de 500 milhões de usuários do serviço. Segundo a empresa, nomes, endereços e números de telefone, assim como as datas de nascimento, podem "vazar". Mais tarde, descobriu-se que em 2013 houve outro caso mais sério de hacking, quando hackers obtiveram informações de mais de 1 bilhão de usuários do Yahoo, incluindo senhas e respostas a perguntas secretas.
E no caso da
empresa analítica LocalBlox , que ficou conhecida alguns meses atrás, a "descarga" dos dados ocorreu devido à falha dos funcionários da empresa. A LocalBlox coletou dados de usuários de várias redes sociais ao mesmo tempo - Facebook, LinkedIn, Twitter e Zillow. Entre esses dados, foram listados: sobrenome e nome, links para contas nas redes sociais, endereço, data de nascimento, correio e número de telefone, salário, interesses e muito mais. Todo o conjunto de dados de 48 milhões de pessoas (seu volume chegou a 1,2 terabytes) que a empresa "deixou" no armazenamento aberto da Amazon. Ele foi
descoberto pela UpGuard , uma
equipe de segurança cibernética.
A situação com Equifax,
que é chamada de "pior vazamento", não pode ser ignorada. Em 2017, os números de social. seguros, cartões de crédito e carteiras de motorista mantidos pela agência de crédito caíram nas mãos de intrusos. Um total de 143 milhões de clientes foram afetados.
Também há casos conhecidos em que os intermediários de dados estavam envolvidos em vazamentos de usuários. Em 2011, a empresa de marketing Epsilon foi
invadida . Em seguida, os e-mails de milhões de pessoas entraram na rede e seus proprietários sofreram uma série de ataques de phishing e spam. E em 2015, o Experian foi hackeado. Os hackers "vazaram" informações pessoais para 15 milhões de usuários.
Para evitar a redução dos danos causados por esses incidentes no futuro, as empresas de telecomunicações dos EUA decidiram até parar de vender dados de clientes aos corretores. Escrevemos mais sobre isso em um dos nossos
materiais anteriores do blog .
Padrões mais rígidos - uma solução ou uma nova rodada de contradições
Muitos especialistas e políticos do mundo
concordaram que casos passados de vazamentos e roubos demonstram a necessidade de reforçar o controle estatal sobre o armazenamento, a distribuição e a proteção dos dados do usuário. Uma das leis mais famosas adotadas recentemente é o GDPR.
O RGPD deve dar aos cidadãos da UE mais controle sobre seus dados, o que é solicitado por vários serviços on-line. Agora, os usuários agora podem proibir as redes sociais de distribuir dados pessoais sem o seu conhecimento e exigir o fornecimento de informações sobre como eles são usados.
Em caso de violação dos requisitos, as empresas enfrentam multas graves. Eles podem atingir
20 milhões de euros ou 4% do faturamento anual . Portanto, muitos serviços já alteraram suas políticas de privacidade de acordo e introduziram novos recursos. Por exemplo, para atender aos requisitos do regulamento GDPR, o WhatsApp adicionou a capacidade de solicitar informações da conta - são configurações, fotos de perfil, nomes de grupos etc. E o Instagram anunciou uma nova opção para baixar dados.
Preparamos material separado sobre outras mudanças nas políticas das empresas de mídia.
Os reguladores também estabelecem o prazo dentro do qual a empresa
deve relatar a "perda" de dados pessoais. Segundo o GDPR, essa “janela” é de 72 horas após a detecção de um “dreno”.
/ photo Descrição CCEm diferentes países e até em diferentes estados da América, os reguladores estabelecem
suas próprias regras para relatar incidentes. Por exemplo, na Flórida e no Colorado, o regulador deve ser
notificado dentro de 30 dias após o vazamento. Ao mesmo tempo, de acordo com a pesquisa, agora leva em média
206 dias para as empresas americanas detectarem a perda de informações confidenciais. Portanto, conforme observado na agência de pesquisa Ponemon, as empresas terão que melhorar seu desempenho.
Se uma empresa oculta informações sobre um vazamento ou invasão, corre o risco de uma multa grande. No final de abril de 2018, a Comissão de Valores Mobiliários dos EUA anunciou que Altaba (anteriormente Yahoo)
deveria pagar uma multa por suprimir o vazamento de dados pessoais de 2014. O tamanho da multa (para suprimir a extensão do roubo, e não para o fato de sua admissão)
totalizou US $ 35 milhões.
Na Rússia, as multas por violações no campo do processamento de PD são menores. No entanto, a regulamentação poderá seguir em breve os passos do Ocidente. As autoridades do país estão
planejando empresas para garantir os riscos de vazamento de dados pessoais. O destino da iniciativa deve ser decidido já neste mês.
Ainda não se sabe se esses projetos governamentais serão eficazes a longo prazo e como afetarão a vida on-line dos usuários. Como nessa área ainda existem contas com as quais nem tudo é tão simples. Como é o caso da recente
reforma dos direitos autorais na UE , que foi
rejeitada pelo Parlamento Europeu nesta semana.
PS O que mais estamos escrevendo sobre o Primeiro blog corporativo de IaaS:
Publicações PPS sobre um assunto do nosso blog em Habré:
A principal atividade da empresa IT-GRAD é a prestação de serviços em nuvem:
Infraestrutura virtual (IaaS) | Hospedagem PCI DSS | Nuvem FZ-152 | Alugue 1C na nuvem