Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTÁCIO DE SÁ MBA EM SEGURANÇA DA INFORMAÇÃO Fichamento de Estudo de Caso MILENA RAYANE DOS SANTOS GALVÃO Trabalho da Disciplina Gestão de Riscos, Ameaças e Vulnerabilidades Tutor: Sheila de Góes Monteiro Belém 2018 ESTUDO DE CASO: SEGURANÇA DA INFORMAÇÃO Autópsia de uma violação de dados: o case-alvo Target, segunda maior varejista nos Estados Unidos, anunciou uma violação envolvendo o roubo de dados de mais de 40 milhões de cartões de crédito e débito utilizados para fazer compras em suas lojas dos EUA entre 27 de novembro e 18 de dezembro. Em 10 de janeiro de 2014, foi relatado que os cibercriminosos também roubaram dados pessoais, incluindo nomes, números de telefone, endereços residenciais e endereços de e-mail de até 70 milhões de clientes adicionais. Target percebeu a violação de dados através das agências de cumprimento da lei. De fato, em 13 de dezembro de 2013, representantes do Departamento de Justiça dos EUA notificaram a administração da Target a respeito de um grande número de transações fraudulentas de débito e cartão de crédito, que pareciam ter alguma ligação com as transações realizadas na Target. Após esta reunião, a Target contratou uma empresa de informática forense para investigar a violação. Os resultados confirmaram os piores receios: os cibercriminosos estavam pirateando os sistemas da Target e roubando dados de 40 milhões de cartões de débito e de crédito usados em seus estabelecimentos dos EUA desde 27 de novembro. A Target não hesitou em erradicar todo o software usado pelos cibercriminosos Em 19 de dezembro, sob crescente pressão, a Target anunciou a violação e roubo dos dados. Seu site e call center foram inundados rapidamente com chamadas de consumidores preocupados, criando um cenário de pesadelo para o departamento de atendimento ao cliente. As instituições financeiras que emitiam os cartões cujos dados tinham sido roubados reagiram rapidamente ao anúncio da Target. Normalmente, para minimizar perdas, os bancos simplesmente cancelariam os cartões e emitiriam novos. No entanto, por causa do grande número de cartões afetados e dos massivos custos envolvidos, e porque a temporada de férias é um momento muito ruim para deixar os consumidores incapazes de pagar as compras (sem a possibilidade de pagar com cartão de crédito ou sacar dinheiro de um caixa eletrônico utilizando um cartão de débito), os bancos procuraram soluções alternativas. Ao mesmo tempo, a Target lançou uma importante operação de relações públicas. Ela assegurou a seus clientes que o componente tecnológico responsável pela violação fora encontrado e destruído, e que eles poderiam continuar a comprar com confiança em suas lojas. Também prometeu que ninguém seria responsabilizado por transações fraudulentas e ofereceu uma assinatura gratuita para um serviço de monitoramento de crédito. Com a ajuda de uma empresa especializada, a Target continuou a investigação desta grande violação em um empenho para chegar ao cerne do que dera errado. O Departamento de Justiça e o Serviço Secreto dos EUA fizeram o mesmo. Os especialistas concordam que o ataque foi perpetrado por cibercriminosos que usaram uma estratégia bem conhecida e que são, de fato, ferramentas tecnológicas bastante convencionais. Entre 15 e 27 de novembro, os hackers conseguiram penetrar na rede de pontos de venda da Target (a maioria das caixas registradoras atualmente são computadores) e instalar malwares nos terminais. O malware se assemelhava a um programa amplamente conhecido chamado BlackPOS, de origem supostamente russa. Disponível por cerca de US$ 2.000,00 no mercado negro, este software foi projetado para ser instalado em terminais de ponto de venda e capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no terminal infectado. Este tipo de software malicioso, conhecido como raspador de memória, faz uma cópia dos dados no ponto em que eles são mais vulneráveis - ou seja, no instante em que o servidor que processa a transação tem que armazenar os dados brutos (não criptografados) em sua memória de acesso aleatório por alguns milissegundos. Nesse caso, os dados copiados foram salvos imediatamente em um dos servidores da Web da Target, que havia sido pirateado. Este tipo de malware é particularmente perigoso, porque é difícil para o software de detecção de intrusão mais usado detectá-lo. Além disso, o malware geralmente é projetado para excluir todos os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma investigação criminal aprofundada. Assim, entre 15 e 27 de novembro, os cibercriminosos realizaram testes para garantir que tudo estivesse funcionando corretamente. Poucos dias depois, eles instalaram o malware em todos os terminais da Target (aproximadamente 1.800 dispositivos), que então começaram a fazer uma cópia do número de todos os cartões utilizados. Todos os dias, para evitar chamar atenção, os cibercriminosos aproveitaram sua capacidade de acesso remoto para recuperar uma cópia dos dados acumulados (mais de 11 gigabytes), trabalhando entre 10 da manhã e 6 da tarde, em períodos de tráfego de pico normal da rede. Esses dados foram então copiados em três servidores fora da Target, provavelmente sem o conhecimento de seus proprietários; declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.1 A investigação aparentemente descobriu uma cópia dos dados despreocupadamente descartada em um desses servidores que tinha sido usado como armazenamento temporário. A Target estava realmente bem protegida contra esse tipo de ataque, o qual é bastante comum. A Target foi considerada líder em segurança cibernética no setor varejista, tendo investido massivamente em capital e recursos para garantir a segurança de sua infraestrutura de TI. Possui várias camadas de proteção, incluindo segmentação, firewalls, software de detecção de malware, software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de dados. Ambos os especialistas internos e consultores externos realizaram regularmente testes e auditorias de todas essas medidas de segurança. Em setembro de 2013, a Target foi certificada em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI DSS), um padrão internacional que estabelece os níveis mínimos de segurança que comerciantes pequenos e grandes devem atender ao armazenar, processar e transmitir dados de cartão de crédito. Mas, mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida contra esses ataques. De fato, seis meses antes, investira a quantia ordenada de US$ 1,6 milhões para implementar um sistema anti-malware chamado FireEye (os clientes incluíam a indústria de defesa, a CIA, o Pentágono e a Bombardier Aerospace). O FireEye é um sistema de monitoramento avançado para infraestrutura de TI. Com base no princípio da prevenção em vez da detecção, ele funciona através da criação de câmaras virtuais para as quais os hackers são atraídos para que possam ser detectados antes de conseguirem efetivamente penetrar no sistema sob proteção. Uma equipe de especialistas em Bangalore, trabalhando 24 horas por dia, monitorou os resultados dessas atividades de monitoramento. Se a equipe notou alguma atividade suspeita, alertaria a equipe no centro de operações de segurança da Target em Minneapolis (localização de sua sede), que então entraria em ação ou, neste caso, optaria por não fazer nada.... Na verdade, a Target reconheceu publicamente que os alertas desenfreados (os últimos dos quais foram alertas nível 1, o mais alto emitido pelo sistema de monitoramento) teriam sido recebidos a partir de 30 de novembro, e que suas equipes locais teriamanalisado e considerado que nenhuma ação era necessária. Se os especialistas da Target tivessem feito um trabalho melhor ao avaliar os alertas recebidos, o ataque contra a infraestrutura da Target poderia ter sido frustrado, uma vez que a investigação mostra que o primeiro alerta fora emitido antes dos primeiros dados terem sido transferidos. O software de segurança em si teria conseguido prevenir o ataque, pois possui um recurso semelhante a um programa antivírus que erradica automaticamente o software considerado "malicioso" ou "não autorizado." No entanto, os especialistas da Target desativaram este recurso porque o sistema era novo e ainda não confiavam completamente nele. No final de novembro, até o próprio sistema antivírus da Target tinha detectado atividades suspeitas no servidor protegido pelo FireEye. Este alerta adicional também foi ignorado. Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais populares para dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade de comprar dados de um único cartão ou de lotes de 1.000 cartões, com desconto. Os usuários podem pesquisar por cidade, região geográfica, banco, tipo de cartão, data de validade, etc. O preço varia dependendo do tipo de cartão: de US$ 6 para um cartão-presente até US$ 200 para dados de um cartão de crédito American Express Platinum. Parece que os cartões da Target foram vendidos em lotes de um milhão de cartões, com preços que variam de US$ 20 a US$ 100 por cartão. O site também oferece um serviço de atendimento impecável, permitindo aos usuários pagar em bitcoin (ou moedas similares) ou via Western Union. Ele ainda oferece uma garantia de validade em termos de duração (por exemplo, seis horas) ou o valor mínimo no cartão (US$ 1.000, por exemplo). O tempo é um fator crucial nesta indústria: os criminosos têm que comprar o número e clonar o cartão para fazer compras na loja, mas eles podem usar rapidamente o limite de crédito comprando online. Eles geralmente compram cartões de presente com prazo de validade mais longo. Eventualmente, o sistema de segurança do banco ou o consumidor detectam transações suspeitas e o cartão é rapidamente cancelado. Em seguida, os bandidos iniciam o processo novamente com um novo cartão. A imagem da Target sofreu um grave golpe após o anúncio da violação de dados - o maior da história na época. A empresa foi criticada por sua falta de atuação sobre os alertas iniciais, por sua demora em tornar a violação pública e pela incapacidade de seu departamento de atendimento ao cliente responder aos clientes. No final de dezembro de 2013, pela primeira vez, a marca Target obteve placar negativo em todos os levantamentos de percepções dos consumidores. É difícil prever o impacto financeiro a longo prazo da violação de dados. A Target está atualmente enfrentando mais de 140 ações judiciais, cada uma buscando milhões de dólares em danos. Vários são processos de ação coletiva. As vítimas acusam a Target de violar várias leis, de negligência no manejo dos dados do cliente e de esperar muito para divulgar publicamente a violação, aumentando assim a vulnerabilidade de seus clientes. Em 14 de maio de 2014, o tribunal dividiu os processos em três grupos: instituições financeiras,3 consumidores e acionistas. Os bancos estão no coração dessas ações (eles sozinhos são responsáveis por 29 delas) e acreditam que a Target deva reembolsá-los por todos os custos decorrentes da violação, incluindo a reemissão maciça de cartões, relações com clientes, reembolsos para transações fraudulentas, investigações, etc. Além do efeito sobre a linha de fundo da Target, a violação também teve um enorme impacto internamente. Em 5 de março de 2014, a Target anunciou a "renúncia" de seu Diretor de Informação (CIO), quem ocupara o cargo desde 2008, além da revisão da sua segurança da informação e conformidade entre estrutura e práticas. Como primeiro passo neste empenho, a empresa também anunciou a criação de dois cargos-chave, a serem recrutados externamente: Vice-Presidente Executivo e Diretor de Segurança da Informação e Vice-Presidente Executivo e Diretor de Conformidade. A nova função da segurança iria centralizar todas as atividades de gestão de segurança, as quais se encontravam previamente dispersas entre diferentes grupos da empresa. Finalmente, alguns meses depois, em maio de 2014, o CEO da Target foi demitido. Havia especulações de que a combinação da expansão fracassada no Canadá e a grande violação de dados finalmente convenceram o Conselho de Administração de que o sr. Steinhafel, que esteve com a empresa por 35 anos e atuou como CEO desde 2008, não era mais a pessoa certa para proteger os ativos da empresa. O rumor também fez com que esses eventos forçassem uma revisão da presença de certos membros do Conselho. No geral, a violação teve repercussões significativas na liderança da Target, como atesta o fato de que a maioria dos jogadores atuais se juntou à empresa após este fatídico evento. Embora o fiasco da Target não esteja mais no topo da maior violação de dados na história (essa honra foi reivindicada pela Home Depot no início de setembro de 2014), é lamentável notar que, no fim do dia, os clientes sempre são os maiores perdedores quando ocorrem tais incidentes. Um titular do cartão que detecta uma transação fraudulenta em sua declaração simplesmente tem que entrar em contato com o banco e cancelar o cartão, uma operação de rotina que leva apenas alguns minutos. No entanto, uma vez que o cartão é cancelado, se o titular do cartão tiver operações pendentes ou recorrentes, ele ou ela terá que entrar em contato com todos os comerciantes envolvidos. O cancelamento do cartão também pode levar a novas dores de cabeça, como dificultar a devolução da mercadoria paga com um cartão cancelado. Isso sem mencionar as consequências graves e a longo prazo dos roubos de dados pessoais. Além da invasão da privacidade, o roubo de identidade resultante obriga as vítimas a embarcarem em um longo e árduo processo para defender sua identidade e provar a várias partes (comerciantes, credores, ministérios, etc.) que não cometeram nenhum delito. os investimentos necessários são enormes: toda a infraestrutura tecnológica (terminais de pagamento e todo o software de armazenamento e processamento de dados) precisa ser substituída, juntamente com todos os cartões em circulação. A série de roubos importantes de dados nos Estados Unidos tem deixado autoridades legislativas extremamente preocupadas. Em 4 de fevereiro de 2014, o Comitê do Senado americano no Judiciário realizou audiências sobre "Privacidade na Era Digital: Prevenção de Violação de Dados e Combate ao Cibercrime", antes da qual o Vice-Presidente Executivo e Diretor Financeiro (CFO) da Target foi chamado para dar testemunho. O objetivo das audiências era determinar como as leis poderiam ser alteradas para garantir uma melhor proteção de dados. Algumas pessoas ainda pediram leis a nível nacional que obrigassem os diferentes interessados do setor a trabalharem juntos para evitar violações de dados. Para evitar isso, a Visa e a MasterCard lançaram iniciativas concretas para forçar a ação de todos os agentes da indústria.
Compartilhar