Baixe o app para aproveitar ainda mais
Prévia do material em texto
Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Autópsia de uma violação de dados: o case-alvo Cases1, 2 preparados por Line DUBÉ3 HEC130 Volume 14 Problema 1 março de 2016 Em 19 de dezembro de 2013, a Target, segunda maior varejista nos Estados Unidos, anunciou uma violação envolvendo o roubo de dados de mais de 40 milhões de cartões de crédito e débito utilizados para fazer compras em suas lojas dos EUA entre 27 de novembro e 18 de dezembro. 18.4 Em 10 de janeiro de 2014, foi relatado que os cibercriminosos também roubaram dados pessoais, incluindo nomes, números de telefone, endereços residenciais e endereços de e-mail de até 70 milhões de clientes adicionais. A descoberta Como ocorre frequentemente em tais situações, a Target percebeu a violação de dados através das agências de cumprimento da lei. De fato, em 13 de dezembro de 2013, representantes do Departamento de Justiça dos EUA notificaram a administração da Target a respeito de um grande número de transações fraudulentas de débito e cartão de crédito, que pareciam ter alguma ligação com as transações realizadas na Target. Após esta reunião, a Target contratou uma empresa de informática forense para investigar a violação. Os resultados confirmaram os piores receios: os cibercriminosos estavam pirateando os sistemas da Target e roubando dados de 40 milhões de cartões de débito e de crédito usados em seus estabelecimentos dos EUA desde 27 de novembro. A Target não hesitou em erradicar todo o software usado pelos cibercriminosos, mas apesar da ansiedade da empresa de sufocar as notícias, elas se espalharam e os repórteres começaram a fazer perguntas. Em 19 de dezembro, sob crescente pressão, a Target anunciou a violação e roubo dos dados. Seu site e call center foram inundados rapidamente com chamadas de consumidores preocupados, criando um cenário de pesadelo para o departamento de atendimento ao cliente. Para piorar a situação, a violação 1 Tradução do francês por Andrea Neuhofer do case n° 9 65 2016 001, "Autopsie d'un vol de données : le cas Target." 2 Este case foi escrito usando fontes públicas de informação e, portanto, reflete os fatos, opiniões e análises publicados na mídia. O blog do repórter investigativo Brian Krebs (krebsonsecurity.com), um especialista no campo da segurança informática, também foi uma valiosa fonte de informação. Veja a lista de publicações utilizadas no final do case. 3 Line Dubé é professora titular no Departamento de Tecnologias de Informação da HEC Montréal. 4 Esta data varia entre 15 e 18 de dezembro, dependendo da fonte. 18 de dezembro é usado aqui porque é a data dada por John Mulligan, Vice- Presidente Executivo e Diretor Financeiro da Target, em testemunho perante o Comitê do Senado dos EUA sobre o Judiciário em 4 de fevereiro de 2014 (ver http://www.judiciary.senate.gov/meetings/privacy-in-the-digital-age-preventing-data-breaches-and-combating-cybercrime). © HEC Montréal 2016 Todos os direitos reservados para todos os países. Qualquer tradução ou alteração sob qualquer forma é proibida. O International Journal of Case Studies in Management é publicado online (http://www.hec.ca/en/case_centre/ijcsm/), ISSN 1911-2599. Este case destina-se a ser utilizado como quadro para uma discussão educacional e não implica qualquer julgamento sobre a situação administrativa apresentada. Depositado sob o número 9 65 2016 002B com o HEC Montréal Case Center, 3000, chemin de la Côte-Sainte-Catherine, Montréal (Québec) H3T 2A7, Canadá. Autopsy of a Data Breach: The Target Case 2 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 ocorreu durante a temporada de compras pré-Natal, que incluía a Black Friday, um dos dias mais movimentados do ano para os varejistas de lojas. A violação de dados afetou aproximadamente 10% de todos os cartões de débito e de crédito em circulação nos Estados Unidos. As instituições financeiras que emitiam os cartões cujos dados tinham sido roubados reagiram rapidamente ao anúncio da Target. Normalmente, para minimizar perdas, os bancos simplesmente cancelariam os cartões e emitiriam novos. No entanto, por causa do grande número de cartões afetados e dos massivos custos envolvidos, e porque a temporada de férias é um momento muito ruim para deixar os consumidores incapazes de pagar as compras (sem a possibilidade de pagar com cartão de crédito ou sacar dinheiro de um caixa eletrônico utilizando um cartão de débito), os bancos procuraram soluções alternativas. O JP Morgan Chase, por exemplo, que teve pelo menos dois milhões de clientes afetados, colocou rapidamente limites rigorosos nas retiradas (US$ 100 em dinheiro por dia, limite de $300 nas compras de cartão) para seus clientes potencialmente afetados até que novos cartões pudessem ser emitidos. Os bancos, deixados sozinhos para gerir a violação, enfrentaram desafios financeiros e logísticos extraordinários. Ao mesmo tempo, a Target lançou uma importante operação de relações públicas. Ela assegurou a seus clientes que o componente tecnológico responsável pela violação fora encontrado e destruído, e que eles poderiam continuar a comprar com confiança em suas lojas. Também prometeu que ninguém seria responsabilizado por transações fraudulentas e ofereceu uma assinatura gratuita para um serviço de monitoramento de crédito. Com a ajuda de uma empresa especializada, a Target continuou a investigação desta grande violação em um empenho para chegar ao cerne do que dera errado. O Departamento de Justiça e o Serviço Secreto dos EUA fizeram o mesmo. E aí, o que aconteceu? Os especialistas concordam que o ataque foi perpetrado por cibercriminosos que usaram uma estratégia bem conhecida e que são, de fato, ferramentas tecnológicas bastante convencionais. Entre 15 e 27 de novembro, os hackers conseguiram penetrar na rede de pontos de venda da Target (a maioria das caixas registradoras atualmente são computadores) e instalar malwares nos terminais. O malware se assemelhava a um programa amplamente conhecido chamado BlackPOS, de origem supostamente russa. Disponível por cerca de US$ 2.000,00 no mercado negro, este software foi projetado para ser instalado em terminais de ponto de venda e capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no terminal infectado. Este tipo de software malicioso, conhecido como raspador de memória, faz uma cópia dos dados no ponto em que eles são mais vulneráveis - ou seja, no instante em que o servidor que processa a transação tem que armazenar os dados brutos (não criptografados) em sua memória de acesso aleatório por alguns milissegundos. Nesse caso, os dados copiados foram salvos imediatamente em um dos servidores da Web da Target, que havia sido pirateado. Este tipo de malware é particularmente perigoso, porque é difícil para o software de detecção de intrusão mais usado detectá-lo. Além disso, o malware geralmente é projetado para excluir todos os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma investigação criminal aprofundada. Na maioria das vezes, as organizações nem sabem que foram infectadas; de fato, estudos mostram que leva uma média de 229 dias para que essa violação seja detectada pela empresa vitimada. Como no caso da Target, a notíciaé frequentemente entregue por agências de cumprimento da lei agindo em nome das reclamações de bancos que observam um nível excepcionalmente elevado de transações fraudulentas que parecem remontar ao mesmo varejista. Autopsy of a Data Breach: The Target Case 3 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Assim, entre 15 e 27 de novembro, os cibercriminosos realizaram testes para garantir que tudo estivesse funcionando corretamente. Poucos dias depois, eles instalaram o malware em todos os terminais da Target (aproximadamente 1.800 dispositivos), que então começaram a fazer uma cópia do número de todos os cartões utilizados. Todos os dias, para evitar chamar atenção, os cibercriminosos aproveitaram sua capacidade de acesso remoto para recuperar uma cópia dos dados acumulados (mais de 11 gigabytes), trabalhando entre 10 da manhã e 6 da tarde, em períodos de tráfego de pico normal da rede. Esses dados foram então copiados em três servidores fora da Target, provavelmente sem o conhecimento de seus proprietários; declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.1 A investigação aparentemente descobriu uma cópia dos dados despreocupadamente descartada em um desses servidores que tinha sido usado como armazenamento temporário. Como os cibercriminosos fizeram para perpetrar este roubo? A Target estava realmente bem protegida contra esse tipo de ataque, o qual é bastante comum. A Target foi considerada líder em segurança cibernética no setor varejista, tendo investido massivamente em capital e recursos para garantir a segurança de sua infraestrutura de TI. Possui várias camadas de proteção, incluindo segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de dados. Ambos os especialistas internos e consultores externos realizaram regularmente testes e auditorias de todas essas medidas de segurança. Em setembro de 2013, a Target foi certificada em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI DSS), um padrão internacional que estabelece os níveis mínimos de segurança que comerciantes pequenos e grandes devem atender ao armazenar, processar e transmitir dados de cartão de crédito. No entanto, nenhuma dessas medidas impediu os cibercriminosos de encontrar e explorar vulnerabilidades na infraestrutura de TI da Target. Um dos seus fornecedores, a empresa HVAC Fazio Mechanical Services, com sede na Pensilvânia, teve acesso remoto à rede da Target para fins de cobrança eletrônica, envio de contratos e gerenciamento de projetos. A investigação descobriu que os cibercriminosos obtiveram o código de usuário e senha desta empresa enviando um simples e-mail de phishing ao qual um funcionário da Fazio respondeu. De posse destas informações, os cibercriminosos conseguiram penetrar remotamente na rede da Target e, ao explorar vulnerabilidades nas medidas de segurança implementadas, conseguiram acessar a rede do sistema de pagamento da empresa, que estava vinculada à rede de terminais do ponto de venda. Isso abriu caminho para que eles instalassem seu malware. Mas, mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida contra esses ataques. De fato, seis meses antes, investira a quantia ordenada de US$ 1,6 milhões para implementar um sistema anti-malware chamado FireEye (os clientes incluíam a indústria de defesa, a CIA, o Pentágono e a Bombardier Aerospace). O FireEye é um sistema de monitoramento avançado para infraestrutura de TI. Com base no princípio da prevenção em vez da detecção, ele funciona através da criação de câmaras virtuais para as quais os hackers são atraídos para que possam ser detectados antes de conseguirem efetivamente penetrar no sistema sob proteção. Uma equipe de especialistas em Bangalore, trabalhando 24 horas por dia, monitorou os resultados dessas atividades de monitoramento. Se a equipe notou alguma atividade suspeita, 1 A localização geográfica dos servidores usados para armazenar os dados roubados varia de acordo com a fonte, mas parece haver consenso de que pelo menos um servidor estava localizado nos EUA e outro fora do país. Autopsy of a Data Breach: The Target Case 4 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 alertaria a equipe no centro de operações de segurança da Target em Minneapolis (localização de sua sede), que então entraria em ação ou, neste caso, optaria por não fazer nada.... Na verdade, a Target reconheceu publicamente que os alertas desenfreados (os últimos dos quais foram alertas nível 1, o mais alto emitido pelo sistema de monitoramento) teriam sido recebidos a partir de 30 de novembro, e que suas equipes locais teriam analisado e considerado que nenhuma ação era necessária. Se os especialistas da Target tivessem feito um trabalho melhor ao avaliar os alertas recebidos, o ataque contra a infraestrutura da Target poderia ter sido frustrado, uma vez que a investigação mostra que o primeiro alerta fora emitido antes dos primeiros dados terem sido transferidos. O software de segurança em si teria conseguido prevenir o ataque, pois possui um recurso semelhante a um programa antivírus que erradica automaticamente o software considerado "malicioso" ou "não autorizado." No entanto, os especialistas da Target desativaram este recurso porque o sistema era novo e ainda não confiavam completamente nele. No final de novembro, até o próprio sistema antivírus da Target tinha detectado atividades suspeitas no servidor protegido pelo FireEye. Este alerta adicional também foi ignorado. Quem cometera o roubo? Quem são os suspeitos? Como é o caso dos roubos físicos de ativos de alto valor, os roubos de dados em larga escala, como o ataque contra a Target, geralmente são o trabalho de uma equipe organizada de cibercriminosos, operando internacionalmente, cujos membros têm habilidades sofisticadas e complementares (programação de malware, intrusão de rede, gerenciamento de servidores, venda de dados roubados, ocultação de bens roubados, etc.). Ao rastrear os dados, verificou-se que, depois de serem armazenados em três servidores temporários, os dados foram transferidos para um servidor em Moscou. Uma análise mais aprofundada do código de malware e dos servidores utilizados revelou que todos os sinais apontaram para um grupo sólido de cibercriminosos com base na Rússia e na Ucrânia, dois países que, juntamente com a Romênia, formavam um ponto central para roubo e venda de dados nos últimos 10 anos. A consequente caçada internacional levou à identificação do principal suspeito e líder da operação: um ucraniano de 22 anos que teria sido implicado em casos de roubo de dados em seu país. Acredita-se que o mesmo grupo esteja vinculado a pelo menos seis outras violações importantes de dados nos dois anos anteriores e a um ataque similar contra o Home Depot no verão de 2014. Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais populares para dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade de comprar dados de um único cartão ou de lotes de 1.000 cartões, com desconto. Os usuários podem pesquisar por cidade, região geográfica,banco, tipo de cartão, data de validade, etc. O preço varia dependendo do tipo de cartão: de US$ 6 para um cartão-presente até US$ 200 para dados de um cartão de crédito American Express Platinum. Parece que os cartões da Target foram vendidos em lotes de um milhão de cartões, com preços que variam de US$ 20 a US$ 100 por cartão. O site também oferece um serviço de atendimento impecável, permitindo aos usuários pagar em bitcoin (ou moedas similares) ou via Western Union. Ele ainda oferece uma garantia de validade em termos de duração (por exemplo, seis horas) ou o valor mínimo no cartão (US$ 1.000, por exemplo). O tempo é um fator crucial nesta indústria: os criminosos têm que comprar o número e clonar o cartão para fazer compras na loja, mas eles podem usar rapidamente o limite de crédito comprando online. Eles geralmente compram cartões de presente com prazo de validade mais longo. Eventualmente, o sistema de segurança do banco ou o consumidor detectam transações suspeitas e o cartão é rapidamente cancelado. Em seguida, os bandidos iniciam o processo novamente com um novo cartão. Autopsy of a Data Breach: The Target Case 5 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Consequências da violação A imagem da Target sofreu um grave golpe após o anúncio da violação de dados - o maior da história na época. A empresa foi criticada por sua falta de atuação sobre os alertas iniciais, por sua demora em tornar a violação pública e pela incapacidade de seu departamento de atendimento ao cliente responder aos clientes. No final de dezembro de 2013, pela primeira vez, a marca Target obteve placar negativo em todos os levantamentos de percepções dos consumidores. Esses sentimentos negativos foram refletidos nos resultados do quarto trimestre da empresa. Na verdade, a Target anunciou uma queda de 46% nos lucros (US$ 520 milhões em comparação com US$ 961 milhões no mesmo período do ano anterior) e uma queda de 5,3% na receita, a qual a administração atribuiu a compradores temerosos. O êxodo dos clientes e os custos relacionados à violação afetaram não apenas os resultados trimestrais, mas também os resultados do ano inteiro, que ficaram muito aquém das metas de Wall Street. Vale ressaltar, no entanto, que as dificuldades resultantes da expansão da empresa para o Canadá foram um fator contribuinte para as metas perdidas.1 Em 1º de fevereiro de 2014, a Target informou que gastou US$ 61 milhões em resposta à violação, mas que esse valor seria compensado em 100 milhões de dólares em ciberseguros assegurados pela Target.2 No entanto, os especialistas especulam que, quando tudo tiver acabado, o custo total da violação ultrapassará US$ 500 milhões e pode até chegar à marca de US$ 1 bilhão. Este montante inclui o reembolso dos bancos para a reemissão de cartões, todas as atividades relacionadas a comunicação e gerenciamento de clientes, multas por não conformidade com o padrão PCI DSS devido à vulnerabilidade do método de autenticação do fornecedor externo, o custo do monitoramento de crédito para as dezenas de milhões de clientes afetados pela violação e os enormes custos legais por vários anos. É difícil prever o impacto financeiro a longo prazo da violação de dados. A Target está atualmente enfrentando mais de 140 ações judiciais, cada uma buscando milhões de dólares em danos. Vários são processos de ação coletiva. As vítimas acusam a Target de violar várias leis, de negligência no manejo dos dados do cliente e de esperar muito para divulgar publicamente a violação, aumentando assim a vulnerabilidade de seus clientes. Em 14 de maio de 2014, o tribunal dividiu os processos em três grupos: instituições financeiras,3 consumidores e acionistas. Os bancos estão no coração dessas ações (eles sozinhos são responsáveis por 29 delas) e acreditam que a Target deva reembolsá-los por todos os custos decorrentes da violação, incluindo a reemissão maciça de cartões, relações com clientes, reembolsos para transações fraudulentas, investigações, etc. Dependendo da fonte, estima-se que custe entre US$ 5 e $ 15 para reemitir um cartão; entre o anúncio da infração e fevereiro de 2014, mais de 15,3 milhões de cartões de débito e de crédito tiveram que ser substituídos. Os bancos geralmente não recuperam mais do que uma parte minúscula dos custos envolvidos4 porque eles são responsáveis por esses custos sob as cláusulas contratuais estabelecidas entre comerciantes e empresas de cartões de crédito. Além do efeito sobre a linha de fundo da Target, a violação também teve um enorme impacto internamente. Em 5 de março de 2014, a Target anunciou a "renúncia" de seu Diretor de Informação (CIO), quem 1 em janeiro de 2015, a Target anunciou que estava fechando suas 133 lojas no Canadá. 2 Em fevereiro de 2015, a Target reportou custos totais até US$ 252 milhões, dos quais US$ 90 milhões foram compensados pelo seu seguro. No entanto, no outono de 2015, as consequências estavam longe de terminar. Apesar de ter atingido acordos com vários dos principais emissores de cartão relacionados à Visa, várias ações judiciais foram aprovadas pelos tribunais ao longo de 2015 e serão assim ouvidas nos próximos anos. 3 No verão de 2015, a Visa e a Target chegaram a uma liquidação segundo a qual a Target concordou em pagar até US$ 67 milhões para os emissores de cartão (os bancos) para cobrir uma parte dos custos decorrentes da violação de dados. Em maio de 2015, os emissores de cartões MasterCard rejeitaram uma oferta de liquidação similar no montante de US$ 19 milhões. 4 Aproximadamente US$ 2,50 por cartão roubado. Autopsy of a Data Breach: The Target Case 6 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 ocupara o cargo desde 2008, além da revisão da sua segurança da informação e conformidade entre estrutura e práticas. Como primeiro passo neste empenho, a empresa também anunciou a criação de dois cargos- chave, a serem recrutados externamente: Vice-Presidente Executivo e Diretor de Segurança da Informação e Vice-Presidente Executivo e Diretor de Conformidade. A nova função da segurança iria centralizar todas as atividades de gestão de segurança, as quais se encontravam previamente dispersas entre diferentes grupos da empresa. Finalmente, alguns meses depois, em maio de 2014, o CEO da Target foi demitido. Havia especulações de que a combinação da expansão fracassada no Canadá e a grande violação de dados finalmente convenceram o Conselho de Administração de que o sr. Steinhafel, que esteve com a empresa por 35 anos e atuou como CEO desde 2008, não era mais a pessoa certa para proteger os ativos da empresa. O rumor também fez com que esses eventos forçassem uma revisão da presença de certos membros do Conselho. No geral, a violação teve repercussões significativas na liderança da Target, como atesta o fato de que a maioria dos jogadores atuais se juntou à empresa após este fatídico evento.1 A violação de dados também teve impacto nos projetos da Target. Por exemplo, a empresa decidiu atrasar seu projeto de US$ 100 milhões para implementar um sistema de cartão com chip e de identificação pessoal (chip-and-PIN) em até seis meses. Este projeto, cuja conclusão foi planejada para o final de 2015, envolvia a substituição de todos os terminais de ponto de venda (bem como o software de suporte)e todos os cartões de crédito Target (REDcard) em circulação por um cartão de chip. Os cartões habilitados para chip reduziram drasticamente o número de casos de fraude nos países onde já são amplamente utilizados (Europa, Canadá e Austrália). No entanto, é importante notar que o sistema de pagamento com chip do cartão não teria impedido o tipo de roubo cometido contra a Target, embora tornaria muito mais difícil clonar os cartões cujos dados foram roubados, tornando-os ainda menos úteis e, portanto, muito menos valiosos. Embora o fiasco da Target não esteja mais no topo da maior violação de dados na história (essa honra foi reivindicada pela Home Depot no início de setembro de 2014), é lamentável notar que, no fim do dia, os clientes sempre são os maiores perdedores quando ocorrem tais incidentes. Um titular do cartão que detecta uma transação fraudulenta em sua declaração simplesmente tem que entrar em contato com o banco e cancelar o cartão, uma operação de rotina que leva apenas alguns minutos. No entanto, uma vez que o cartão é cancelado, se o titular do cartão tiver operações pendentes ou recorrentes, ele ou ela terá que entrar em contato com todos os comerciantes envolvidos. O cancelamento do cartão também pode levar a novas dores de cabeça, como dificultar a devolução da mercadoria paga com um cartão cancelado. Isso sem mencionar as consequências graves e a longo prazo dos roubos de dados pessoais. Além da invasão da privacidade, o roubo de identidade resultante obriga as vítimas a embarcarem em um longo e árduo processo para defender sua identidade e provar a várias partes (comerciantes, credores, ministérios, etc.) que não cometeram nenhum delito. Embora se estime que o roubo de dados da Target por si só custará às instituições financeiras mais de US$ 200 milhões, as partes interessadas do setor (instituições financeiras, indústria de TI e comerciantes) continuam a passar a culpa por não implementar as medidas necessárias para proteger os consumidores. Por quê? Principalmente porque os investimentos necessários são enormes: toda a infraestrutura tecnológica (terminais de pagamento e todo o software de armazenamento e processamento de dados) precisa ser substituída, juntamente com todos os cartões em circulação. A série de roubos importantes de dados nos Estados Unidos tem deixado 1 Veja a equipe de liderança da Target: https://corporate.target.com/press/leadership?_ga=1.74193618.1913530050.1448163247 Autopsy of a Data Breach: The Target Case 7 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 autoridades legislativas extremamente preocupadas. Em 4 de fevereiro de 2014, o Comitê do Senado americano no Judiciário realizou audiências sobre "Privacidade na Era Digital: Prevenção de Violação de Dados e Combate ao Cibercrime", antes da qual o Vice-Presidente Executivo e Diretor Financeiro (CFO) da Target foi chamado para dar testemunho. O objetivo das audiências era determinar como as leis poderiam ser alteradas para garantir uma melhor proteção de dados. Algumas pessoas ainda pediram leis a nível nacional que obrigassem os diferentes interessados do setor a trabalharem juntos para evitar violações de dados. Para evitar isso, a Visa e a MasterCard lançaram iniciativas concretas para forçar a ação de todos os agentes da indústria. Para citar apenas um exemplo, em 15 de outubro de 2015, foi implementada uma nova regra de responsabilidade do cartão de crédito em caso de compras fraudulentas. A regra mudou a responsabilidade contra a fraude dos emissores de cartões para o elo mais fraco da cadeia - ou seja, o varejista ou o banco - com o elo mais fraco sendo definido como a parte que ainda não atualizou seus equipamentos, software e cartões para permitir o uso da tecnologia de chip. Apesar deste ultimato, as partes interessadas tardaram em fazer os investimentos necessários, e estima-se que a mudança para cartões habilitados para chip nos EUA não estará completa até o final de 2017. A nível internacional, o governo está buscando formas de fortalecer a colaboração internacional e assinar e impor acordos de extradição, uma vez que a maioria dos cibercriminosos se baseia fora do país. No geral, é cada vez mais claro que o cibercrime ainda está em sua infância e que ainda temos um longo caminho até combatê-lo efetivamente. Uma coisa que é certa, no entanto, é que é sempre o consumidor final quem fica preso a uma conta, não importa o quão grande seja. CONTINUA... NOTA: A pesquisa detalhada foi realizada em um esforço para localizar, analisar e corroborar as informações disponíveis, a fim de fornecer uma imagem tão precisa quanto possível da situação descrita. No entanto, é claro que a Target e as agências de cumprimento da lei têm em sua posse informações adicionais e altamente relevantes que até o momento permanecem secretas. Esta limitação deve ser mantida em mente ao ler e interpretar este case. A seguir uma lista das principais publicações consultadas: ASSOCIATED PRESS (5 de março de 2014). “Target CIO resigns as security revamped over data breach – Company's 4th-quarter profits take a hit following hacking incident”, CBC News. BASU, Eric (15 de junho de 2014). “Target CEO fired – Can you be fired if your company is hacked?” Forbes. CBC NEWS (10 de janeiro de 2014). “Target data hack affected 70 million people – Stock drops as retailer reveals more customers affected and names and addresses leaked.” CLARK, Meagan (5 de maio de 2014). “Timeline of Target’s data breach and aftermath: How cybertheft snowballed for the giant retailer”, International Business Times. CONTE, Andrew (7 de fevereiro de 2014). “Hackers likely hit Target “lottery” through Sharpsburg firm’s remote link”, TRIBLIVE News. HELLER, Laura (14 de março de 2014). “Target failed to act on security warnings”, FierceRetail. HELLER, Laura (16 de fevereiro de 2014). “Target: Timeline of a data breach”, FierceRetail. HESSELDAHL, Arik (27 de maio de 2015). “Target CEO loves Apple pay, but wants chip-and-PIN cards first” (video), recode.net. KITTEN, Tracy (18 de agosto de 2015). “Target, Visa reach breach settlement”, Bankinfo Security. KOSSMAN, Sienna (2015). “8 FAQs about EMV credit cards”, creditcards.com. Autopsy of a Data Breach: The Target Case 8 © HEC Montréal Este documento está autorizado para uso de revisão de educadores apenas por P?s Acad?mico Est?cio, HE OTHER até fevereiro de 2018. A cópia ou publicação é uma violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 LOEB, Walter (15 de janeiro de 2015). “Target’s new CEO makes a bold decision to leave Canada”, Forbes. MELTON, Nicole Marie (20 de dezembro de 2013). “Target sued over data breach as customer backlash causes PR nightmare”, FierceRetail. PAYMENTS LEADER (2015). “Will retailers be ready for EMV by Oct 2015?” RILEY, Micahel, Ben ELGIN, Dune LAWRENCE e Carol MATLACK (13 de março de 2014). “Missed alarms and 40 million stolen credit card numbers: How Target blew it”, BusinessWeek. ROMANO, Jeffrey (25 de fevereiro de 2015). “Target breach costs: $162 million”, Data Breach Today. SIDEL, Robin (18 de agosto de 2015). “Target to settle over data breach”, The Wall Street Journal. SMITH, C. (13 de março de 2014). “It turns out Target could have easily prevented its massive security breach”, BGR. SMITH, Chris (16 de janeiro de 2014). “Expert who first revealed massive Target hack tells us how it happened”, BGR.TARGET (n.d.). Press releases related to the data breach: https://corporate.target.com/about/payment- card- issue. 2016-05-12
Compartilhar