E quando uma das empresas mais confiáveis do mundo sofre um vazamento de dados devastador, em decorrência de um erro relativamente simples de configuração em seus servidores na nuvem?

embarassed

Foi isso que aconteceu em julho com a Dow Jones & Company, editora responsável pela publicação do renomado e confiabilíssimo índice financeiro Dow Jones. De acordo com reportagem publicada pela revista norte-americana Forbes, a empresa expôs informações cadastrais de mais de 2,2 milhões de clientes – e este número pode chegar a até 4 milhões!

A própria editora frisou que o vazamento de dados da Dow Jones não aconteceu em decorrência de um ataque hacker, mas sim por conta de um erro interno. O problema se deu em uma configuração equivocada de permissões no Amazon S3, repositório de dados na nuvem da Amazon Web Services (AWS): qualquer usuário com uma conta gratuita na AWS poderia fazer o download da base dos assinantes Dow Jones a partir da URL do banco de dados.

wat

A falha expôs informações como nome completo, e-mail, endereço residencial, os últimos quatro dígitos do cartão de crédito e, em alguns casos, o número de telefone dos assinantes da Dow Jones. A detecção da falha de segurança foi feita pela UpGuard, uma empresa de segurança on-line também dos Estados Unidos.

O que pode acontecer com estes dados?

Muito embora o problema não exponha credenciais bancárias ou de cartão de crédito dos clientes afetados, o vazamento da Dow Jones cria um cenário perfeito para fraudadores. Com todas estas informações em mãos, criminosos cibernéticos poderiam facilmente criar armadilhas de phishing para roubar ainda mais dados das vítimas.

Nem precisamos ir muito além: apenas com o endereço eletrônico ou o número de telefone dos assinantes da editora financeira, estelionatários poderiam disparar e-mails ou mensagens SMS em nome da Dow Jones, e simulando a comunicação visual da empresa, induzindo as vítimas a clicarem em links maliciosos ou enviarem dados financeiros ainda mais sensível – como os 16 dígitos do cartão de crédito, CVV, senhas e códigos de acesso a contas bancárias…

susto

Sim: os criminosos poderiam criar uma extensa e completíssima base de informações das vítimas e utilizá-la para diversos fins ilegais, criando contas e realizando compras fraudulentas em lojas on-line com “cadastro perfeito” (quando todos os dados batem) ou transações financeiras em serviços como e-wallets ou solicitação de novos cartões de crédito.

A questão não é encontrar um culpado…

Hoje foi a Dow Jones quem sofreu um vazamento de dados, assim como em um passado bastante recente muitas outras empresas ou instituições bastante conhecidas também conviveram com problemas semelhantes – casos de Nasdaq, Target, Home Depot, Adobe e até mesmo a CBF (Confederação Brasileira de Futebol).

Vazamentos de dados vão acontecer, e isso é um fato diante da destreza de hackers em descobrir falhas de segurança nos mais variados sistemas. E pior: muitas vezes não é sequer necessário haver um vazamento de dados para expor nossas informações pessoais – muitas delas já estão disponíveis espalhadas na internet e nem sequer nos damos conta.

O que não pode acontecer, por outro lado, é a miopia que acomete muitos profissionais de e-commerce em acreditar que a simples conferência de dados cadastrais é o suficiente (ou a melhor alternativa) para barrar uma fraude em transações on-line. Acho que este é mais um exemplo disso, não?

ohjeez

A Konduto é muito (MUITO!) mais que dados cadastrais

Somos uma empresa que desenvolveu uma tecnologia inovadora para barrar fraudes no e-commerce. Analisamos como um cliente se comporta desde o primeiro momento em que acessa o seu site até o instante em que a compra é concluída e geramos em tempo real uma recomendação sobre aquela transação.

Além dos dados cadastrais, nosso sistema também reúne outras informações básicas como fingerprint e geolocalização, dentre outras, e passa todos estes dados por um filtro de inteligência artificial. A venda é analisada em menos de 1s, sem prejudicar ou causar transtorno à operação do lojista. Nosso algoritmo de machine learning aprende com cada análise e evolui com o passar do tempo, reduzindo cada vez mais o número de fraudes.

Share This