Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é uma violação de dados?
Atualizado em: 24 de maio de 2024
Colaborador: Matthew Kosinski
Uma violação de dados é qualquer incidente de segurança no qual partes não autorizadas obtêm acesso a dados sensíveis ou informações confidenciais, incluindo dados pessoais (números de Segurança Social, números de contas bancárias, informações de saúde) ou dados corporativos (dados de clientes, propriedade intelectual, informações financeiras).
Os termos "violação de dados" e "violação" são frequentemente usados de forma intercambiável com "ataque cibernético." No entanto, nem todos os ataques cibernéticos são violações de dados. As violações de dados incluem somente as violações de segurança na que alguém obtém acesso não autorizado aos dados.
Por exemplo, um ataque dedistributed denial-of-service (DDoS) que sobrecarrega um site não é uma violação de dados. Um ataque de ransomware que bloqueia os dados dos clientes de uma empresa e ameaça vazá-los, a menos que a empresa pague um resgate, é uma violação de dados. O roubo físico de discos rígidos, unidades flash USB ou até mesmo arquivos em papel contendo informações confidenciais também é uma violação de dados.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Segundo o relatório do custo das violações de dados da IBM, o custo médio global de uma violação de dados é de USD 4,88 milhões. Embora organizações de todos os tamanhos e tipos sejam vulneráveis a violações, a gravidade dessas violações e os custos de remediação podem variar.
Por exemplo, o custo médio de uma violação de dados nos Estados Unidos é de USD 9,36 milhões, cerca de 4 vezes o custo de uma violação na Índia (USD 2,35 milhões).
As consequências de uma violação tendem a ser particularmente severas para organizações de setores altamente regulados, como integridade, finanças e setor público, onde multas pesadas e penalidades podem aumentar os custos. Por exemplo, segundo um relatório da IBM, o custo médio de uma violação de dados no setor de saúde é de USD 9,77 milhões, o dobro da média geral das violações.
Os custos da violação de dados decorrem de vários fatores, e o relatório da IBM aponta os quatro principais: perda de negócios, detecção e contenção, resposta pós-violação e notificação.
A perda de negócios, receita e clientes devido a uma violação custa, em média, USD 1,47 milhão para as organizações. O custo de detectar e conter a violação é ainda maior, atingindo USD 1,63 milhão. As despesas após a violação, incluindo multas, acordos, honorários legais, monitoramento de crédito sem custo para os clientes afetados e outros gastos, custam, em média, USD 1,35 milhão às vítimas de violações.
Os custos de notificação, que incluem o reporte das violações aos clientes, reguladores e outras partes, são os menores, em torno de USD 430.000. Ainda assim, os requisitos para reporte podem ser complexos e exigem muito tempo.
A Lei de Relato de Incidentes Cibernéticos para Infraestrutura Crítica dos EUA de 2022 (CIRCIA) exige que organizações nos setores de segurança nacional, finanças e outros setores designados relatem incidentes de cibersegurança que afetem dados pessoais ou operações comerciais ao departamento de segurança interna dentro de 72 horas.
As organizações dos EUA sujeitas à Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) devem notificar o Departamento de Saúde e Serviços Humanos dos EUA, os indivíduos afetados e, às vezes, a mídia se as informações de saúde protegidas forem violadas.
Todos os 50 estados dos EUA também têm suas próprias leis de notificação de violação de dados.
O Regulamento Geral de Proteção de Dados (GDPR) exige que as empresas que fazem negócios com cidadãos da UE notifiquem as autoridades sobre as violações dentro de 72 horas.
As violações de dados são causadas por:
Erros inocentes, como um funcionário enviar informações confidenciais por e-mail para a pessoa errada.
Agente interno malicioso, incluindo funcionários irritados ou demitidos que querem prejudicar a empresa e funcionários gananciosos que querem lucrar com os dados da empresa.
Hackers, pessoas de fora mal-intencionadas que cometem crimes cibernéticos intencionais para roubar dados. Os hackers podem atuar como operadores solitários ou como parte de uma rede organizada.
O ganho financeiro é a principal motivação para a maioria das violações maliciosas de dados. Os Hackers roubam números de cartão de crédito, contas bancárias ou outras informações financeiras para retirar fundos diretamente das pessoas e empresas.
Alguns invasores roubam informações de identificação pessoal (PII)–como números da segurança social e números de telefone–para roubar a identidade, contrair empréstimos e contratar cartões de crédito em nome de suas vítimas. Os cibercriminosos também podem vender as informações de identificação pessoal e das contas roubadas na dark web, onde podem receber até US$ 500 pelas credenciais de login de um banco.1
Uma violação de dados também pode ser a primeira fase de um ataque maior. Por exemplo, os hackers podem roubar as senhas das contas de e-mail de executivos corporativos e usar essas contas para realizar golpes de comprometimento de e-mail comercial.
As violações de dados podem ter outros objetivos além do enriquecimento pessoal. Organizações sem escrúpulos podem roubar segredos comerciais dos concorrentes e intervenientes estatais podem violar os sistemas do governo para roubar informações sobre negociações políticas confidenciais, operações militares ou infraestrutura nacional.
A maioria das violações intencionais de dados causadas por agentes de ameaças internos ou externos segue o mesmo padrão básico:
- Pesquisa: o agente de ameaça identifica um alvo e procura pontos fracos que eles podem usar para invadir o sistema do alvo. Esses pontos fracos podem ser técnicos, como controles de segurança inadequados, ou humanos, como funcionários suscetíveis à engenharia social.
- Ataque: o agente da ameaça inicia um ataque ao alvo usando o método escolhido. O invasor pode enviar um e-mail spear phishing, explorar diretamente as vulnerabilidades do sistema, usar credenciais de login roubadas para assumir uma conta ou aproveitar outros vetores comuns de ataque de violação de dados.
- Comprometer dados: dentro do sistema, o invasor localiza os dados que deseja e faz o que tem que fazer. As táticas comuns incluem a exfiltração de dados para venda ou uso, a destruição dos dados ou o bloqueio dos dados para exigir um resgate.
Vetores comuns de ataques de violação de dados
Agentes maliciosos podem usar vários vetores de ataques ou métodos para realizar violações de dados. Alguns dos mais comuns incluem:
Segundo o relatório do custo das violações de dados de 2024, as credenciais comprometidas ou roubadas são o segundo vetor de ataque inicial mais comum, correspondendo a 16% das violações de dados.
Os hackers podem comprometer as credenciais usando ataques de força bruta para decifrar senhas, comprando credenciais roubadas na dark web ou enganando os funcionários para que revelem suas senhas por meio de ataques de engenharia social.
A engenharia social é o ato de manipular psicologicamente as pessoas para que, sem querer, comprometam a própria segurança da informação.
O phishing, o tipo mais comum de ataque de engenharia social, também é o vetor de ataque de violação de dados mais comum, representando 16% das violações. Os golpes de phishing usam e-mails, mensagens de texto, conteúdo de mídia social ou sites fraudulentos para enganar os usuários e fazer com que compartilhem suas credenciais ou baixem um malware.
O ransomware, um tipo de malware que mantém os dados como reféns até que a vítima pague um resgate, custa em média USD 4,91 milhões, de acordo com o relatório docusto das violações de dados. Essas violações costumam ser caras, pois esse valor não inclui o pagamento do resgate, que pode chegar a dezenas de milhões de dólares.
Os cibercriminosos podem obter acesso a uma rede-alvo explorando pontos fracos em sites, sistemas operacionais, endpoints, APIs e softwares comuns, como o Microsoft Office ou outros ativos de TI.
Os agentes da ameaça não precisam atingir seus alvos diretamente. Nos ataques à cadeia de suprimentos, os hackers exploram as vulnerabilidades nas redes dos prestadores de serviços e fornecedores de uma empresa para roubar seus dados.
Quando os hackers localizam uma vulnerabilidade, eles geralmente a usam para plantar um malware na rede. O spyware, que registra as teclas pressionadas de uma vítima e outros dados confidenciais e os envia de volta para um servidor que os hackers controlam, é um tipo comum de malware usado nas violações de dados.
Outro método de violação direta de sistemas de destino é o SQL injection, que tira proveito dos pontos fracos dos bancos de dados em Linguagem de Consulta Estruturada (SQL) de sites não seguros.
Os hackers inserem códigos maliciosos em campos voltados para o usuário, como barras de pesquisa e janelas de login. Esse código faz com que o banco de dados divulgue dados privados, como números de cartão de crédito ou informações pessoais dos clientes.
Os agentes de ameaça podem aproveitar os erros dos funcionários para obter acesso às informações confidenciais.
Por exemplo, sistemas mal configurados ou desatualizados podem permitir que partes não autorizadas acessem dados que não deveriam. Os funcionários podem expor dados ao armazená-los em locais não seguros, perder dispositivos com informações confidenciais salvas em seus discos rígidos ou conceder privilégios de acesso excessivos a usuários da rede por engano. Os cibercriminosos podem usar falhas de TI, como interrupções temporárias do sistema, para entrar em bancos de dados confidenciais.
Segundo o relatório do custo das violações de dados, erros de configuração em nuvem são responsáveis por 12% das violações. As vulnerabilidades conhecidas e não corrigidas correspondem a 6% das violações. A perda acidental de dados, incluindo dispositivos perdidos ou roubados, corresponde a mais 6%. No total, esses erros são responsáveis por quase um quarto de todas as violações.
Os agentes de ameaças podem invadir os escritórios da empresa para roubar dispositivos, documentos em papel e discos rígidos físicos dos funcionários contendo dados confidenciais. Os invasores também podem colocar dispositivos de espionagem em leitores físicos de cartões de crédito e débito para coletar informações de cartões de pagamento.
A violação de 2007 da TJX Corporation, a empresa-controladora das varejistas TJ Maxx e Marshalls, foi na época a maior e mais cara violação de dados do consumidor na história dos EUA. Cerca de 94 milhões de registros de clientes foram comprometidos, e a empresa sofreu mais de US$ 256 milhões em perdas financeiras.
Os hackers obtiveram acesso aos dados instalando sniffers de tráfego nas redes sem fio de duas lojas. Os sniffers permitiram que os hackers capturassem informações à medida que eram transmitidas das caixas registradoras da loja para os sistemas de back-end.
Em 2013, o Yahoo sofreu o que pode ter sido a maior violação de dados da história. Os hackers exploraram uma falha no sistema de cookies da empresa para acessar os nomes, datas de nascimento, endereços de e-mail e senhas de todos os 3 bilhões de usuários do Yahoo.
A gravidade total da violação foi revelada em 2016, quando a Verizon estava em negociações para comprar a empresa. Como resultado, a Verizon reduziu sua oferta de aquisição em US$ 350 milhões.
Em 2017, hackers violaram a agência de relatórios de crédito Equifax e acessaram os dados pessoais de mais de 143 milhões de americanos.
Os hackers exploraram uma vulnerabilidade não corrigida no site da Equifax para obter acesso à rede. Os hackers então se deslocaram lateralmente para outros servidores para encontrar números da Segurança Social, números da carteira de motorista e números de cartão de crédito. O ataque custou à Equifax US$ 1,4 bilhão entre liquidações, multas e outros custos associados à reparação da violação.
Em 2020, os agentes de ameaças russos executaram um ataque à cadeia de suprimentos atacando o fornecedor de software SolarWinds. Os hackers usaram a plataforma de monitoramento de rede da organização, Orion, para distribuir secretamente malware para os clientes da SolarWinds.
Os espiões russos obtiveram acesso a informações confidenciais de várias agências governamentais dos EUA, incluindo os Departamentos do Tesouro, da Justiça e de Estado, que utilizam os serviços da SolarWinds.
Em 2021, hackers infectaram os sistemas da Colonial Pipelin com ransomware, forçando a empresa a desligar temporariamente o pipeline que fornece 45% do combustível da costa leste dos EUA.
Os hackers violaram a rede usando a senha de um funcionário que encontraram na dark web. A Colonial Pipeline Company pagou um resgate de US$ 4,4 milhões em criptomoedas, mas a polícia federal recuperou cerca de USD 2,3 milhões desse pagamento.
No outono de 2023, hackers roubaram os dados de 6,9 milhões de usuários da 23andMe. A violação foi notável por alguns motivos. Primeiro, como a 23andMe realiza testes genéticos, os invasores obtiveram algumas informações não convencionais e altamente pessoais, incluindo árvores genealógicas e dados de DNA.
Em segundo lugar, os hackers violaram contas de usuários por meio de uma técnica chamada "preenchimento de credenciais." Nesse tipo de ataque, os hackers usam credenciais expostas em vazamentos anteriores de outras fontes para invadir as contas não relacionadas dos usuários em diferentes plataformas. Esses ataques funcionam porque muitas pessoas reutilizam as mesmas combinações de nome de usuário e senha em vários sites.
Segundo o relatório do custo das violações de dados, o tempo médio para identificar e conter uma violação ativa em todos os setores é de 272 dias. A implementação das soluções de segurança adequadas permite que as organizações identifiquem e respondam a essas violações de forma mais ágil.
Medidas padrão, como avaliações regulares de vulnerabilidade, backups programados, aplicação de correções em tempo hábil e configurações adequadas do banco de dados, podem ajudar a evitar algumas violações e amenizar o impacto das que ocorrem.
No entanto, muitas organizações hoje implementam controles mais avançados e melhores práticas para impedir mais violações e mitigar significativamente os danos que elas causam.
As organizações podem implementar soluções especializadas de segurança de dados para descobrir e classificar automaticamente dados confidenciais, aplicar criptografia e outras proteções e obter informações em tempo real sobre o uso de dados.
As organizações podem mitigar os danos de uma violação adotando planos formais de plano de resposta a incidentes para detectar, conter e erradicar ameaças cibernéticas. Segundo o relatório do custo das violações de dados, a área de segurança que mais recebeu investimentos neste ano foi o planejamento e testes de resposta a incidentes, representando 55% de todos os entrevistados.
As organizações que integram extensivamente inteligência artificial (IA) e automação em suas operações de segurança resolvem violações quase 100 dias mais rápido do que aquelas que não o fazem, segundo o relatório do custo das violações de dados. O relatório também revelou que o uso de IA e automação em segurança reduz o custo médio de uma violação em USD 1,88 milhão, ou seja, uma economia de mais de 30%.
Muitas ferramentas de segurança de dados, prevenção contra perda de dados e gerenciamento de acesso e identidade agora incorporam IA e automação.
Como os ataques de engenharia social e phishing são as principais causas de violações, treinar funcionários para que reconheçam e evitem esses ataques pode reduzir o risco de violação de dados de uma empresa. Além disso, treinar os funcionários para que lidem adequadamente com os dados pode ajudar a evitar violações e vazamentos acidentais de dados.
Gerenciadores de senhas, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), logon único (SSO) e outras ferramentas de gerenciamento de acesso e identidade (IAM) podem proteger as contas e credenciais dos colaboradores contra roubo.
As organizações também podem aplicar controles de acesso baseados em funções e o princípio do menor privilégio para limitar o acesso dos funcionários somente aos dados de que precisam para suas funções. Essas políticas podem ajudar a impedir ameaças internas e hackers que sequestram contas legítimas.
Soluções relacionadas
Proteja os dados em nuvens híbridas e facilite a conformidade com os requisitos.
Fortaleça a proteção da privacidade de dados, conquiste a confiança do cliente e expanda seus negócios.
Melhore o programa de resposta a incidentes da sua organização, minimize o impacto de uma violação e experimente respostas rápidas a incidentes de cibersegurança.
Recursos
Saiba como melhorar a segurança dos seus dados e a postura de conformidade centralizando a segurança, lidando com vulnerabilidades e muito mais.
Saiba como o cenário de segurança atual está mudando e como enfrentar os desafios e aproveitar a resiliência da IA generativa.
Saiba como o ransomware funciona, por que ele se proliferou nos últimos anos e como as organizações se defendem contra ele.
Notas de rodapé
1 How Much Do Hackers Make From Stealing Your Data? (link externo ao site ibm.com), Nasdaq. 16 de outubro de 2023