Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTÁCIO DE SÁ ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FICHAMENTO DE ESTUDO DE CASO Autópsia de uma violação de dados: O case alvo. Disciplina: Gestão de Riscos, Ameaças e Vulnerabilidades Professor: Sergio Franco Fortaleza 2018 Estudo de Caso: Gestão de Riscos, Ameaças e Vulnerabilidades Autópsia de uma violação de dados: O case Alvo. Referência: Dubé, Line. Autópsia de uma violação de dados: o case-alvo. Ljscm – Internatonal Journal of case studies in management, HEC130, volume 14, problema 1, março de 2016. O artgo é baseado no ocorrido de um grande roubo de dados de cartõees na segunda maior empresa varejista nos EUA. Em 13 de dezembro de 2013 o departamento de justça americano noticou a empresa Target responsável pela administração de cartõees de crédito e débito sobre um número crescente de fraudes relacionadas a transaçõees comerciais realizadas através da empresa citada. A empresa Target faz um anuncio em 19 de dezembro declarando violação de dados e roubo de mais de 40 milhõees de cartõees de crédito e débito utlizados para realizar compras indevidas em diversas lojas da rede nos EUA no período de 27 de novembro a 18 de dezembro. Em informe posterior a empresa também relatou que dados pessoais de cerca de 70 milhõees de clientes também foram vazados/roubados. Para piorar ainda mais o cenário todo o problema ocorreu em meio as temporadas de pré-natal e black Friday onde são esperados grandes volumes de negociaçõees envolvendo cartõees de crédito e débito. Com a informação do vazamento e comprometmento de dados informado as insttuiçõees inanceiras procuraram apontar algumas soluçõees temporárias como cancelar os cartõees citados no comprometmento da segurança e algumas como a JP Morgan Chase (literalmente envolvida em milhõees de problemas) deiniu limites de US$ 100 em dinheiro e US$ 300 em cartão para compras diárias realizadas em sua rede. Visando acalmar seus clientes a Target de imediato divulgou através de suas relaçõees públicas que as falhas e componentes tecnológicos causadores do vazamento e comprometmento de dados tnha sido detectado, isolado e eliminado, garantndo assim que o problema teria sido resolvido. Também foi oferecido de forma gratuita um serviço de monitoramento das transaçõees e a promessa de que usuários não seriam responsabilizados pelas fraudes. Foi determinado que as açõees dos criminosos ocorreram no período de 15 a 27 de novembro quando acessaram computadores da empresa Target localizados em pontos de venda e conseguiram instalar malwares conhecidos como Blackpos (Sofware malicioso especialmente projetado para extrair dados de cartõees de crédito e débito). Esses sofwares são desenvolvidos com instruçõees para não deixar sinais detectáveis de suas origens, o que torna ainda mais difcil o processo de investgação. Com o andamento das investgaçõees foi determinado que os criminosos obtveram através da técnica de phishing enviado por e-mail usuário e senha para acessar o sistema de pagamento da rede Target e dessa forma instalaram os Blackpos. Considerado o principal suspeito da operação um ucraniano de 22 anos liderava um grupo com bases na Rússia e na Ucrânia. Os dados obtdos de forma ilícita foram comercializados na loja online rescator.so que oferece esse tpo de serviço publicamente. A imagem da Target icou bastante abalada considerada por muitos como lenta nas respostas aos clientes e pouco eiciente nas soluçõees de correção e atendimento. Sua demora em expor o problema publicamente e alertar seus clientes e lojistas também foi duramente critcada. Como resultado a Target viu sua receita reduzida em 5,3% e lucros caírem 46%. Além disso diversas açõees judiciais são movidas contra a empresa por insttuiçõees inanceiras, acionistas e consumidores que se sentram lesados pelos fatos citados. Todo o problema poderia ter sido evitado ou pelo menos minimizado caso a empresa tvesse implantado um sistema de segurança mais eiciente. Curiosamente a mesma tnha um plano de utlizar chips e identicação de pessoas, no entanto o projeto acabou por ser atrasado devido o seu custo de 100 milhõees de dólares em desenvolvimento. No entanto foi determinado que embora melhorasse a segurança o novo sistema não evitaria o ataque a empresa, mas provavelmente reduziria seus efeitos e comprometmento da imagem da Target. Problema cada vez mais presente para as empresas equalizar as diiculdades inanceiras com a necessidade de mais segurança. Trocar todo um sistema antgo em uso por uma nova tecnologia além da diiculdade operacional também trás a necessidade de valores bastante altos em investmentos para substtuir uma cadeia crescente de dispositvos, computadores e sofwares. Como o numero de crimes somente aumenta a preocupação de elaboração e alteração de leis visando garantr uma proteção mais eiciente e mais rápida em suas respostas é missão das autoridades legislatvas. No dia 15 de outubro de 2015 varejistas e bancos foram informados de uma nova regra de responsabilidade em transaçõees. Infelizmente mesmo com essa nova regra as entdades acabam por demorar muito para realizar os investmentos e mudanças necessárias para melhorar a segurança. Como consequência os dados de milhõees de usuários não estarão devidamente seguros por pelo menos até o inal de 2017. Como medidas para diminuir o interesse pelo crime os governos irmam acordos de extradição pois a maioria dos criminosos vem de fora do país em questão (EUA). Vale lembrar que não há como implantar uma segurança 100% eiciente pois criminosos estão sempre a melhorar suas técnicas, sofwares e dispositvos. O que pode ser feito é criar várias camadas de proteção, leis mais eicientes, treinamentos de segurança e claro as boas prátcas de uso por clientes e usuários.
Compartilhar