Veja as seis 6 grandes violações de 2012 até o momento

Agora que estamos no meio do ano é um bom momento para uma retrospectiva de violações de dados e começar a aprender com nossos erros.

Há muitas escolhas. Segundo o Privacy Rights Clearinghouse, durante a primeira metade de 2012, tivemos 266 violações que afetaram mais de 18,5 milhões de registros.

1. Zappos

Descoberta: Janeiro de 2012

Registro de violações: 24 milhões de registros, incluindo nomes, endereços de e-mail, números de telefone, quatro últimos números de cartões de crédito e senhas codificadas.

Incidente: um invasor ganhou acesso por meio de um servidor Zappos dentro da rede interna de uma empresa para roubar informações que podiam ser usadas para usar pish em clientes.

Lições aprendidas: apesar de não haver ‘boas violações’, muitos especialistas acreditam que a realizada na Zappos é um modelo em redução de fator de risco após uma violação. Primeiro: a criptografia que a empresa utilizou para suas senhas passou no teste. Segundo: a companhia tinha uma resposta para o incidente e o plano de notificação foi usado. Em uma época em que a questão não é ‘se’ e sim ‘quando’ uma infração irá acontecer, esses são dois fatores enormes a serem considerados.

2. Universidade da Corolina do Norte

Descoberta: Fevereiro de 2012

Registros de violações: 350 mil registros.

Incidente: dois incidentes separados por uma década, expuseram número da Segurança Social e informações financeiras.

Lições aprendidas: o erro na configuração de sistemas causou a exposição do sistema da universidade na internet para consumo público. Esse é um cenário de violação familiar nos dias de hoje, conforme as organizações lutam para manter configurações de controle de acesso para que as informações estejam disponíveis para as pessoas que precisam e ao mesmo tempo mantê-las aparte do resto do mundo. Configurar sistemas não é um serviço interessante, mas é crítico.

3. Global Payment Systems

Descoberta: março de 2012

Registro de violações: sete milhões de registros de consumidores, incluindo 1,5 milhões de cartões de crédito.

Incidente: A processadora de cartão de crédito descobriu em março que 1,5 milhões de registros haviam sido exportados de seu sistema de processamento norte americano. Em sua investigação, descobriu que um database de novos e antigos processos também tinham sido atingidos.

Lições aprendidas: sem dúvidas a violação mais impactante do ano. Essa exposição oferece uma lição valiosa acerca do processo de conformidade. Invasores não se preocupam se a empresa tem ou não a aprovação de um auditor que avalia se está ou não em conformidade com seus registros. Nem os reguladores: se você foi violado, está fora da conformidade. No caso do Global Payments, ela foi retirada da lista de empresas de cartões até voltar aos padrões de segurança.

4. South Carolina Health and Human Services

Descoberta: abril de 2012

Registro de violações: 228.435

Incidente: um funcionários foi pego após enviar e-mail para si mesmo de centenas de registros de pacientes durante meses, incluindo números de ID Medicaid para mais de 22 mil pacientes.

Lições aprendidas: apesar de muitas empresas se preocuparem com acesso sem autorização a seus databases, algumas vezes é o  usuário autorizado que rouba os registros mais valiosos. Um programa de segurança centrado em dados protege a informação tanto dentro quanto fora do database, o que significa que o movimento de rastreio de dados é crucial para detectar o roubo de pessoas de dentro antes que ele cause danos.

5. Universidade de Nebraska

Descoberta: maio de 2012

Registros violados: 654 mil registros de estudantes.

Incidente: números de Segurança Social, endereços, notas, entre outros, foram roubados do database Nebraska Student Information Systemas (NeSIS). Detalhes de como a violação ocorreu ainda está sob investigação, mas um suspeito foi identificado e a polícia está envolvida.

Lições aprendidas: essa violação em particular afetou um sistema consolidado que armazenava enormes quantidades de informações sobre estudantes através do Nebraska State College System. Conforme os departamentos de TI se tornam mais eficientes e menos fragmentados, a informação é mais consolidada em sistemas monolíticos. Este é um benefício para as organizações, mas também aumenta dramaticamente a importância de segurança de armazenamento desses dados. Coloque todos os ovos em uma cesta, mas tenha certeza de que ele é a prova de quedas.

6. LinkedIn

Descoberta: junho de 2012

Registros violados: 6,5 milhões de senhas de usuários.

Incidente: A descoberta de senhas em um fórum online levantou pedidos de respostas da comunidade de segurança, que foi confirmada que a informação vinha do LinkedIn. Após negar, a rede social confirmou a violação.

Lições aprendidas: apenas codificar dados sensíveis não é o suficiente. A falha do LinkedIn em codificar senhas facilitou a decodificação de pessoas não autorizadas. O incidente também foi uma lição importante: muitos especialistas acreditavam que a rede social não estava preparada para lidar com um incidente de segurança desse vulto.

 

fonte:Veja as seis 6 grandes violações de 2012 até o momento