estudo de caso - Autópsia de uma violação de dados

Prévia do material em texto

Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos 
autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
Autópsia de uma violação de dados: o case-alvo 
Cases1, 2 preparados por Line DUBÉ3 
HEC130 
Volume 14 
Problema 1 
março de 2016 
 
 
 
Em 19 de dezembro de 2013, a Target, segunda maior varejista nos Estados Unidos, 
anunciou uma violação envolvendo o roubo de dados de mais de 40 milhões de 
cartões de crédito e débito utilizados para fazer compras em suas lojas dos EUA 
entre 27 de novembro e 18 de dezembro. 18.4 
 
Em 10 de janeiro de 2014, foi relatado que os cibercriminosos também roubaram 
dados pessoais, incluindo nomes, números de telefone, endereços residenciais e 
endereços de e-mail de até 70 milhões de clientes adicionais. 
 
A descoberta 
Como ocorre frequentemente em tais situações, a Target percebeu a violação de dados através das agências 
de cumprimento da lei. De fato, em 13 de dezembro de 2013, representantes do Departamento de Justiça 
dos EUA notificaram a administração da Target a respeito de um grande número de transações fraudulentas 
de débito e cartão de crédito, que pareciam ter alguma ligação com as transações realizadas na Target. Após 
esta reunião, a Target contratou uma empresa de informática forense para investigar a violação. Os 
resultados confirmaram os piores receios: os cibercriminosos estavam pirateando os sistemas da Target e 
roubando dados de 40 milhões de cartões de débito e de crédito usados em seus estabelecimentos dos EUA 
desde 27 de novembro. A Target não hesitou em erradicar todo o software usado pelos cibercriminosos, mas 
apesar da ansiedade da empresa de sufocar as notícias, elas se espalharam e os repórteres começaram a fazer 
perguntas. 
 
Em 19 de dezembro, sob crescente pressão, a Target anunciou a violação e roubo dos dados. Seu site e call 
center foram inundados rapidamente com chamadas de consumidores preocupados, criando um cenário de 
pesadelo para o departamento de atendimento ao cliente. Para piorar a situação, a violação 
 
 
1 Tradução do francês por Andrea Neuhofer do case n° 9 65 2016 001, "Autopsie d'un vol de données : le cas Target." 
2 Este case foi escrito usando fontes públicas de informação e, portanto, reflete os fatos, opiniões e análises publicados na mídia. O blog do repórter 
investigativo Brian Krebs (krebsonsecurity.com), um especialista no campo da segurança informática, também foi uma valiosa fonte de 
informação. Veja a lista de publicações utilizadas no final do case. 
3 Line Dubé é professora titular no Departamento de Tecnologias de Informação da HEC Montréal. 
4 Esta data varia entre 15 e 18 de dezembro, dependendo da fonte. 18 de dezembro é usado aqui porque é a data dada por John Mulligan, Vice-
Presidente Executivo e Diretor Financeiro da Target, em testemunho perante o Comitê do Senado dos EUA sobre o Judiciário em 4 de fevereiro 
de 2014 (ver http://www.judiciary.senate.gov/meetings/privacy-in-the-digital-age-preventing-data-breaches-and-combating-cybercrime). 
© HEC Montréal 2016 
Todos os direitos reservados para todos os países. Qualquer tradução ou alteração sob qualquer forma é proibida. 
O International Journal of Case Studies in Management é publicado online (http://www.hec.ca/en/case_centre/ijcsm/), ISSN 1911-2599. Este case 
destina-se a ser utilizado como quadro para uma discussão educacional e não implica qualquer julgamento sobre a situação administrativa 
apresentada. Depositado sob o número 9 65 2016 002B com o HEC Montréal Case Center, 3000, chemin de la Côte-Sainte-Catherine, Montréal 
(Québec) H3T 2A7, Canadá. 
 Autopsy of a Data Breach: The Target Case 
2 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
ocorreu durante a temporada de compras pré-Natal, que incluía a Black Friday, um dos dias mais 
movimentados do ano para os varejistas de lojas. A violação de dados afetou aproximadamente 10% de 
todos os cartões de débito e de crédito em circulação nos Estados Unidos. 
 
As instituições financeiras que emitiam os cartões cujos dados tinham sido roubados reagiram rapidamente 
ao anúncio da Target. Normalmente, para minimizar perdas, os bancos simplesmente cancelariam os cartões 
e emitiriam novos. No entanto, por causa do grande número de cartões afetados e dos massivos custos 
envolvidos, e porque a temporada de férias é um momento muito ruim para deixar os consumidores 
incapazes de pagar as compras (sem a possibilidade de pagar com cartão de crédito ou sacar dinheiro de um 
caixa eletrônico utilizando um cartão de débito), os bancos procuraram soluções alternativas. O JP Morgan 
Chase, por exemplo, que teve pelo menos dois milhões de clientes afetados, colocou rapidamente limites 
rigorosos nas retiradas (US$ 100 em dinheiro por dia, limite de $300 nas compras de cartão) para seus 
clientes potencialmente afetados até que novos cartões pudessem ser emitidos. Os bancos, deixados sozinhos 
para gerir a violação, enfrentaram desafios financeiros e logísticos extraordinários. 
 
Ao mesmo tempo, a Target lançou uma importante operação de relações públicas. Ela assegurou a seus 
clientes que o componente tecnológico responsável pela violação fora encontrado e destruído, e que eles 
poderiam continuar a comprar com confiança em suas lojas. Também prometeu que ninguém seria 
responsabilizado por transações fraudulentas e ofereceu uma assinatura gratuita para um serviço de 
monitoramento de crédito. Com a ajuda de uma empresa especializada, a Target continuou a investigação 
desta grande violação em um empenho para chegar ao cerne do que dera errado. O Departamento de Justiça 
e o Serviço Secreto dos EUA fizeram o mesmo. 
 
 
E aí, o que aconteceu? 
Os especialistas concordam que o ataque foi perpetrado por cibercriminosos que usaram uma estratégia bem 
conhecida e que são, de fato, ferramentas tecnológicas bastante convencionais. Entre 15 e 27 de novembro, 
os hackers conseguiram penetrar na rede de pontos de venda da Target (a maioria das caixas registradoras 
atualmente são computadores) e instalar malwares nos terminais. O malware se assemelhava a um programa 
amplamente conhecido chamado BlackPOS, de origem supostamente russa. Disponível por cerca de US$ 
2.000,00 no mercado negro, este software foi projetado para ser instalado em terminais de ponto de venda 
e capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no terminal 
infectado. Este tipo de software malicioso, conhecido como raspador de memória, faz uma cópia dos dados 
no ponto em que eles são mais vulneráveis - ou seja, no instante em que o servidor que processa a transação 
tem que armazenar os dados brutos (não criptografados) em sua memória de acesso aleatório por alguns 
milissegundos. Nesse caso, os dados copiados foram salvos imediatamente em um dos servidores da Web 
da Target, que havia sido pirateado. Este tipo de malware é particularmente perigoso, porque é difícil para 
o software de detecção de intrusão mais usado detectá-lo. Além disso, o malware geralmente é projetado 
para excluir todos os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma 
investigação criminal aprofundada. Na maioria das vezes, as organizações nem sabem que foram infectadas; 
de fato, estudos mostram que leva uma média de 229 dias para que essa violação seja detectada pela empresa 
vitimada. Como no caso da Target, a notíciaé frequentemente entregue por agências de cumprimento da lei 
agindo em nome das reclamações de bancos que observam um nível excepcionalmente elevado de 
transações fraudulentas que parecem remontar ao mesmo varejista. 
 Autopsy of a Data Breach: The Target Case 
3 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
Assim, entre 15 e 27 de novembro, os cibercriminosos realizaram testes para garantir que tudo estivesse 
funcionando corretamente. Poucos dias depois, eles instalaram o malware em todos os terminais da Target 
(aproximadamente 1.800 dispositivos), que então começaram a fazer uma cópia do número de todos os 
cartões utilizados. Todos os dias, para evitar chamar atenção, os cibercriminosos aproveitaram sua 
capacidade de acesso remoto para recuperar uma cópia dos dados acumulados (mais de 11 gigabytes), 
trabalhando entre 10 da manhã e 6 da tarde, em períodos de tráfego de pico normal da rede. Esses dados 
foram então copiados em três servidores fora da Target, provavelmente sem o conhecimento de seus 
proprietários; declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.1 A 
investigação aparentemente descobriu uma cópia dos dados despreocupadamente descartada em um desses 
servidores que tinha sido usado como armazenamento temporário. 
 
 
Como os cibercriminosos fizeram para perpetrar este roubo? 
A Target estava realmente bem protegida contra esse tipo de ataque, o qual é bastante comum. A Target foi 
considerada líder em segurança cibernética no setor varejista, tendo investido massivamente em capital e 
recursos para garantir a segurança de sua infraestrutura de TI. Possui várias camadas de proteção, incluindo 
segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de 
prevenção e planos para evitar a perda de dados. Ambos os especialistas internos e consultores externos 
realizaram regularmente testes e auditorias de todas essas medidas de segurança. Em setembro de 2013, a 
Target foi certificada em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de 
Pagamento (PCI DSS), um padrão internacional que estabelece os níveis mínimos de segurança que 
comerciantes pequenos e grandes devem atender ao armazenar, processar e transmitir dados de cartão de 
crédito. 
 
No entanto, nenhuma dessas medidas impediu os cibercriminosos de encontrar e explorar vulnerabilidades 
na infraestrutura de TI da Target. Um dos seus fornecedores, a empresa HVAC Fazio Mechanical Services, 
com sede na Pensilvânia, teve acesso remoto à rede da Target para fins de cobrança eletrônica, envio de 
contratos e gerenciamento de projetos. A investigação descobriu que os cibercriminosos obtiveram o código 
de usuário e senha desta empresa enviando um simples e-mail de phishing ao qual um funcionário da Fazio 
respondeu. De posse destas informações, os cibercriminosos conseguiram penetrar remotamente na rede da 
Target e, ao explorar vulnerabilidades nas medidas de segurança implementadas, conseguiram acessar a 
rede do sistema de pagamento da empresa, que estava vinculada à rede de terminais do ponto de venda. Isso 
abriu caminho para que eles instalassem seu malware. 
 
Mas, mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida contra esses 
ataques. De fato, seis meses antes, investira a quantia ordenada de US$ 1,6 milhões para implementar um 
sistema anti-malware chamado FireEye (os clientes incluíam a indústria de defesa, a CIA, o Pentágono e a 
Bombardier Aerospace). O FireEye é um sistema de monitoramento avançado para infraestrutura de TI. 
Com base no princípio da prevenção em vez da detecção, ele funciona através da criação de câmaras virtuais 
para as quais os hackers são atraídos para que possam ser detectados antes de conseguirem efetivamente 
penetrar no sistema sob proteção. Uma equipe de especialistas em Bangalore, trabalhando 24 horas por dia, 
monitorou os resultados dessas atividades de monitoramento. Se a equipe notou alguma atividade suspeita, 
 
 
1 A localização geográfica dos servidores usados para armazenar os dados roubados varia de acordo com a fonte, mas parece haver consenso de que 
pelo menos um servidor estava localizado nos EUA e outro fora do país. 
 Autopsy of a Data Breach: The Target Case 
4 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
alertaria a equipe no centro de operações de segurança da Target em Minneapolis (localização de sua sede), 
que então entraria em ação ou, neste caso, optaria por não fazer nada.... 
 
Na verdade, a Target reconheceu publicamente que os alertas desenfreados (os últimos dos quais foram 
alertas nível 1, o mais alto emitido pelo sistema de monitoramento) teriam sido recebidos a partir de 30 de 
novembro, e que suas equipes locais teriam analisado e considerado que nenhuma ação era necessária. Se 
os especialistas da Target tivessem feito um trabalho melhor ao avaliar os alertas recebidos, o ataque contra 
a infraestrutura da Target poderia ter sido frustrado, uma vez que a investigação mostra que o primeiro alerta 
fora emitido antes dos primeiros dados terem sido transferidos. O software de segurança em si teria 
conseguido prevenir o ataque, pois possui um recurso semelhante a um programa antivírus que erradica 
automaticamente o software considerado "malicioso" ou "não autorizado." No entanto, os especialistas da 
Target desativaram este recurso porque o sistema era novo e ainda não confiavam completamente nele. No 
final de novembro, até o próprio sistema antivírus da Target tinha detectado atividades suspeitas no servidor 
protegido pelo FireEye. Este alerta adicional também foi ignorado. 
 
 
Quem cometera o roubo? Quem são os suspeitos? 
Como é o caso dos roubos físicos de ativos de alto valor, os roubos de dados em larga escala, como o ataque 
contra a Target, geralmente são o trabalho de uma equipe organizada de cibercriminosos, operando 
internacionalmente, cujos membros têm habilidades sofisticadas e complementares (programação de 
malware, intrusão de rede, gerenciamento de servidores, venda de dados roubados, ocultação de bens 
roubados, etc.). Ao rastrear os dados, verificou-se que, depois de serem armazenados em três servidores 
temporários, os dados foram transferidos para um servidor em Moscou. Uma análise mais aprofundada do 
código de malware e dos servidores utilizados revelou que todos os sinais apontaram para um grupo sólido 
de cibercriminosos com base na Rússia e na Ucrânia, dois países que, juntamente com a Romênia, formavam 
um ponto central para roubo e venda de dados nos últimos 10 anos. A consequente caçada internacional 
levou à identificação do principal suspeito e líder da operação: um ucraniano de 22 anos que teria sido 
implicado em casos de roubo de dados em seu país. Acredita-se que o mesmo grupo esteja vinculado a pelo 
menos seis outras violações importantes de dados nos dois anos anteriores e a um ataque similar contra o 
Home Depot no verão de 2014. 
 
Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais populares para 
dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade de comprar dados de um 
único cartão ou de lotes de 1.000 cartões, com desconto. Os usuários podem pesquisar por cidade, região 
geográfica,banco, tipo de cartão, data de validade, etc. O preço varia dependendo do tipo de cartão: de US$ 
6 para um cartão-presente até US$ 200 para dados de um cartão de crédito American Express Platinum. 
Parece que os cartões da Target foram vendidos em lotes de um milhão de cartões, com preços que variam 
de US$ 20 a US$ 100 por cartão. O site também oferece um serviço de atendimento impecável, permitindo 
aos usuários pagar em bitcoin (ou moedas similares) ou via Western Union. Ele ainda oferece uma garantia 
de validade em termos de duração (por exemplo, seis horas) ou o valor mínimo no cartão (US$ 1.000, por 
exemplo). O tempo é um fator crucial nesta indústria: os criminosos têm que comprar o número e clonar o 
cartão para fazer compras na loja, mas eles podem usar rapidamente o limite de crédito comprando online. 
Eles geralmente compram cartões de presente com prazo de validade mais longo. Eventualmente, o sistema 
de segurança do banco ou o consumidor detectam transações suspeitas e o cartão é rapidamente cancelado. 
Em seguida, os bandidos iniciam o processo novamente com um novo cartão. 
 Autopsy of a Data Breach: The Target Case 
5 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
Consequências da violação 
A imagem da Target sofreu um grave golpe após o anúncio da violação de dados - o maior da história na 
época. A empresa foi criticada por sua falta de atuação sobre os alertas iniciais, por sua demora em tornar a 
violação pública e pela incapacidade de seu departamento de atendimento ao cliente responder aos clientes. 
No final de dezembro de 2013, pela primeira vez, a marca Target obteve placar negativo em todos os 
levantamentos de percepções dos consumidores. Esses sentimentos negativos foram refletidos nos 
resultados do quarto trimestre da empresa. Na verdade, a Target anunciou uma queda de 46% nos lucros 
(US$ 520 milhões em comparação com US$ 961 milhões no mesmo período do ano anterior) e uma queda 
de 5,3% na receita, a qual a administração atribuiu a compradores temerosos. O êxodo dos clientes e os 
custos relacionados à violação afetaram não apenas os resultados trimestrais, mas também os resultados do 
ano inteiro, que ficaram muito aquém das metas de Wall Street. Vale ressaltar, no entanto, que as 
dificuldades resultantes da expansão da empresa para o Canadá foram um fator contribuinte para as metas 
perdidas.1 Em 1º de fevereiro de 2014, a Target informou que gastou US$ 61 milhões em resposta à violação, 
mas que esse valor seria compensado em 100 milhões de dólares em ciberseguros assegurados pela Target.2 
No entanto, os especialistas especulam que, quando tudo tiver acabado, o custo total da violação ultrapassará 
US$ 500 milhões e pode até chegar à marca de US$ 1 bilhão. Este montante inclui o reembolso dos bancos 
para a reemissão de cartões, todas as atividades relacionadas a comunicação e gerenciamento de clientes, 
multas por não conformidade com o padrão PCI DSS devido à vulnerabilidade do método de autenticação 
do fornecedor externo, o custo do monitoramento de crédito para as dezenas de milhões de clientes afetados 
pela violação e os enormes custos legais por vários anos. 
 
É difícil prever o impacto financeiro a longo prazo da violação de dados. A Target está atualmente 
enfrentando mais de 140 ações judiciais, cada uma buscando milhões de dólares em danos. Vários são 
processos de ação coletiva. As vítimas acusam a Target de violar várias leis, de negligência no manejo dos 
dados do cliente e de esperar muito para divulgar publicamente a violação, aumentando assim a 
vulnerabilidade de seus clientes. Em 14 de maio de 2014, o tribunal dividiu os processos em três grupos: 
instituições financeiras,3 consumidores e acionistas. Os bancos estão no coração dessas ações (eles sozinhos 
são responsáveis por 29 delas) e acreditam que a Target deva reembolsá-los por todos os custos decorrentes 
da violação, incluindo a reemissão maciça de cartões, relações com clientes, reembolsos para transações 
fraudulentas, investigações, etc. Dependendo da fonte, estima-se que custe entre US$ 5 e 
$ 15 para reemitir um cartão; entre o anúncio da infração e fevereiro de 2014, mais de 15,3 milhões de 
cartões de débito e de crédito tiveram que ser substituídos. Os bancos geralmente não recuperam mais do 
que uma parte minúscula dos custos envolvidos4 porque eles são responsáveis por esses custos sob as 
cláusulas contratuais estabelecidas entre comerciantes e empresas de cartões de crédito. 
 
Além do efeito sobre a linha de fundo da Target, a violação também teve um enorme impacto internamente. 
Em 5 de março de 2014, a Target anunciou a "renúncia" de seu Diretor de Informação (CIO), quem 
 
 
1 em janeiro de 2015, a Target anunciou que estava fechando suas 133 lojas no Canadá. 
2 Em fevereiro de 2015, a Target reportou custos totais até US$ 252 milhões, dos quais US$ 90 milhões foram compensados pelo seu seguro. No 
entanto, no outono de 2015, as consequências estavam longe de terminar. Apesar de ter atingido acordos com vários dos principais emissores de 
cartão relacionados à Visa, várias ações judiciais foram aprovadas pelos tribunais ao longo de 2015 e serão assim ouvidas nos próximos anos. 
3 No verão de 2015, a Visa e a Target chegaram a uma liquidação segundo a qual a Target concordou em pagar até US$ 67 milhões para os emissores 
de cartão (os bancos) para cobrir uma parte dos custos decorrentes da violação de dados. Em maio de 2015, os emissores de cartões MasterCard 
rejeitaram uma oferta de liquidação similar no montante de US$ 19 milhões. 
4 Aproximadamente US$ 2,50 por cartão roubado. 
 Autopsy of a Data Breach: The Target Case 
6 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
ocupara o cargo desde 2008, além da revisão da sua segurança da informação e conformidade entre estrutura 
e práticas. Como primeiro passo neste empenho, a empresa também anunciou a criação de dois cargos-
chave, a serem recrutados externamente: Vice-Presidente Executivo e Diretor de Segurança da Informação 
e Vice-Presidente Executivo e Diretor de Conformidade. A nova função da segurança iria centralizar todas 
as atividades de gestão de segurança, as quais se encontravam previamente dispersas entre diferentes grupos 
da empresa. Finalmente, alguns meses depois, em maio de 2014, o CEO da Target foi demitido. Havia 
especulações de que a combinação da expansão fracassada no Canadá e a grande violação de dados 
finalmente convenceram o Conselho de Administração de que o sr. Steinhafel, que esteve com a empresa 
por 35 anos e atuou como CEO desde 2008, não era mais a pessoa certa para proteger os ativos da empresa. 
O rumor também fez com que esses eventos forçassem uma revisão da presença de certos membros do 
Conselho. No geral, a violação teve repercussões significativas na liderança da Target, como atesta o fato 
de que a maioria dos jogadores atuais se juntou à empresa após este fatídico evento.1 
 
A violação de dados também teve impacto nos projetos da Target. Por exemplo, a empresa decidiu atrasar 
seu projeto de US$ 100 milhões para implementar um sistema de cartão com chip e de identificação pessoal 
(chip-and-PIN) em até seis meses. Este projeto, cuja conclusão foi planejada para o final de 2015, envolvia 
a substituição de todos os terminais de ponto de venda (bem como o software de suporte)e todos os cartões 
de crédito Target (REDcard) em circulação por um cartão de chip. Os cartões habilitados para chip 
reduziram drasticamente o número de casos de fraude nos países onde já são amplamente utilizados (Europa, 
Canadá e Austrália). No entanto, é importante notar que o sistema de pagamento com chip do cartão não 
teria impedido o tipo de roubo cometido contra a Target, embora tornaria muito mais difícil clonar os cartões 
cujos dados foram roubados, tornando-os ainda menos úteis e, portanto, muito menos valiosos. 
 
Embora o fiasco da Target não esteja mais no topo da maior violação de dados na história (essa honra foi 
reivindicada pela Home Depot no início de setembro de 2014), é lamentável notar que, no fim do dia, os 
clientes sempre são os maiores perdedores quando ocorrem tais incidentes. Um titular do cartão que detecta 
uma transação fraudulenta em sua declaração simplesmente tem que entrar em contato com o banco e 
cancelar o cartão, uma operação de rotina que leva apenas alguns minutos. No entanto, uma vez que o cartão 
é cancelado, se o titular do cartão tiver operações pendentes ou recorrentes, ele ou ela terá que entrar em 
contato com todos os comerciantes envolvidos. O cancelamento do cartão também pode levar a novas dores 
de cabeça, como dificultar a devolução da mercadoria paga com um cartão cancelado. Isso sem mencionar 
as consequências graves e a longo prazo dos roubos de dados pessoais. Além da invasão da privacidade, o 
roubo de identidade resultante obriga as vítimas a embarcarem em um longo e árduo processo para defender 
sua identidade e provar a várias partes (comerciantes, credores, ministérios, etc.) que não cometeram 
nenhum delito. 
 
Embora se estime que o roubo de dados da Target por si só custará às instituições financeiras mais de US$ 
200 milhões, as partes interessadas do setor (instituições financeiras, indústria de TI e comerciantes) 
continuam a passar a culpa por não implementar as medidas necessárias para proteger os consumidores. Por 
quê? Principalmente porque os investimentos necessários são enormes: toda a infraestrutura tecnológica 
(terminais de pagamento e todo o software de armazenamento e processamento de dados) precisa ser 
substituída, juntamente com todos os cartões em circulação. A série de roubos importantes de dados nos 
Estados Unidos tem deixado 
 
1 Veja a equipe de liderança da Target: 
https://corporate.target.com/press/leadership?_ga=1.74193618.1913530050.1448163247 
 Autopsy of a Data Breach: The Target Case 
7 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
autoridades legislativas extremamente preocupadas. Em 4 de fevereiro de 2014, o Comitê do Senado 
americano no Judiciário realizou audiências sobre "Privacidade na Era Digital: Prevenção de Violação de 
Dados e Combate ao Cibercrime", antes da qual o Vice-Presidente Executivo e Diretor Financeiro (CFO) 
da Target foi chamado para dar testemunho. O objetivo das audiências era determinar como as leis poderiam 
ser alteradas para garantir uma melhor proteção de dados. Algumas pessoas ainda pediram leis a nível 
nacional que obrigassem os diferentes interessados do setor a trabalharem juntos para evitar violações de 
dados. Para evitar isso, a Visa e a MasterCard lançaram iniciativas concretas para forçar a ação de todos os 
agentes da indústria. Para citar apenas um exemplo, em 15 de outubro de 2015, foi implementada uma nova 
regra de responsabilidade do cartão de crédito em caso de compras fraudulentas. A regra mudou a 
responsabilidade contra a fraude dos emissores de cartões para o elo mais fraco da cadeia - ou seja, o 
varejista ou o banco - com o elo mais fraco sendo definido como a parte que ainda não atualizou seus 
equipamentos, software e cartões para permitir o uso da tecnologia de chip. Apesar deste ultimato, as partes 
interessadas tardaram em fazer os investimentos necessários, e estima-se que a mudança para cartões 
habilitados para chip nos EUA não estará completa até o final de 2017. A nível internacional, o governo 
está buscando formas de fortalecer a colaboração internacional e assinar e impor acordos de extradição, uma 
vez que a maioria dos cibercriminosos se baseia fora do país. 
 
No geral, é cada vez mais claro que o cibercrime ainda está em sua infância e que ainda temos um longo 
caminho até combatê-lo efetivamente. Uma coisa que é certa, no entanto, é que é sempre o consumidor final 
quem fica preso a uma conta, não importa o quão grande seja. CONTINUA... 
 
 
NOTA: 
 
A pesquisa detalhada foi realizada em um esforço para localizar, analisar e corroborar as informações 
disponíveis, a fim de fornecer uma imagem tão precisa quanto possível da situação descrita. No entanto, é 
claro que a Target e as agências de cumprimento da lei têm em sua posse informações adicionais e altamente 
relevantes que até o momento permanecem secretas. Esta limitação deve ser mantida em mente ao ler e 
interpretar este case. 
 
A seguir uma lista das principais publicações consultadas: 
 
ASSOCIATED PRESS (5 de março de 2014). “Target CIO resigns as security revamped over data breach – 
Company's 4th-quarter profits take a hit following hacking incident”, CBC News. 
BASU, Eric (15 de junho de 2014). “Target CEO fired – Can you be fired if your company is hacked?” Forbes. 
CBC NEWS (10 de janeiro de 2014). “Target data hack affected 70 million people – Stock drops as retailer 
reveals more customers affected and names and addresses leaked.” 
CLARK, Meagan (5 de maio de 2014). “Timeline of Target’s data breach and aftermath: How cybertheft 
snowballed for the giant retailer”, International Business Times. 
CONTE, Andrew (7 de fevereiro de 2014). “Hackers likely hit Target “lottery” through Sharpsburg firm’s remote 
link”, TRIBLIVE News. 
HELLER, Laura (14 de março de 2014). “Target failed to act on security warnings”, FierceRetail. 
HELLER, Laura (16 de fevereiro de 2014). “Target: Timeline of a data breach”, FierceRetail. 
HESSELDAHL, Arik (27 de maio de 2015). “Target CEO loves Apple pay, but wants chip-and-PIN cards first” 
(video), recode.net. 
KITTEN, Tracy (18 de agosto de 2015). “Target, Visa reach breach settlement”, Bankinfo Security. 
KOSSMAN, Sienna (2015). “8 FAQs about EMV credit cards”, creditcards.com. 
 Autopsy of a Data Breach: The Target Case 
8 © HEC 
Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
LOEB, Walter (15 de janeiro de 2015). “Target’s new CEO makes a bold decision to leave Canada”, Forbes. 
MELTON, Nicole Marie (20 de dezembro de 2013). “Target sued over data breach as customer backlash causes 
PR nightmare”, FierceRetail. 
PAYMENTS LEADER (2015). “Will retailers be ready for EMV by Oct 2015?” 
RILEY, Micahel, Ben ELGIN, Dune LAWRENCE e Carol MATLACK (13 de março de 2014). “Missed 
alarms and 40 million stolen credit card numbers: How Target blew it”, BusinessWeek. 
ROMANO, Jeffrey (25 de fevereiro de 2015). “Target breach costs: $162 million”, Data Breach Today. 
SIDEL, Robin (18 de agosto de 2015). “Target to settle over data breach”, The Wall Street Journal. 
SMITH, C. (13 de março de 2014). “It turns out Target could have easily prevented its massive security 
breach”, BGR. 
SMITH, Chris (16 de janeiro de 2014). “Expert who first revealed massive Target hack tells us how it happened”, 
BGR.TARGET (n.d.). Press releases related to the data breach: https://corporate.target.com/about/payment- card-
issue. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2016-05-12