As filtragens em massa de dados pessoais são, desafortunadamente, uma realidade a cada vez mais comum. As empresas que sofrem estes incidentes não só se enfrentam a graves danos reputacionales e a perdas económicas, sina que também geram preocupação e desconfiança entre seus clientes, cujos dados ficam enormemente comprometidos e podem revenderse depois na deep site.
Por isso, é fundamental que as empresas implementem medidas de segurança robustas, o que inclui firewalls avançados, sistemas de detecção de intrusiones, criptografado de dados (tanto em trânsito como em repouso), autenticação com vários factores, gestão de acessos e segmentação de redes. Ademais, para identificar vulnerabilidades e pontos débis nos sistemas, as auditorias devem ser muito frequentes.
Empresas afectadas
Por exemplo, faz menos de um ano, o Banco Santander alertou de um "acesso não autorizado" a um banco de dados da entidade alojada num provedor que afectou a clientes de Espanha, Chile e Uruguai, e a todos os empregados e alguns ex empregados do grupo. A lista de companhias que têm sofrido incidências similares inclui ao Corte Inglês, DKV, a DGT, Telefónica, Iberdrola ou TicketMaster.
A última em aparecer neste escuro inventário é Cecotec, que está baixo a lupa da entidade de consumidores Facua. Esta se dirigiu à Agência Espanhola de Protecção de Dados (AEPD) para lhe pedir que pesquise a Cecotec pela filtragem em massa de dados pessoais de clientes que se encontravam registados em sua antiga plataforma de e-commerce.
Plataforma de e-commerce
Cecotec, que diz ser uma entidade "comprometida com a protecção de dados e a privacidade de nossos clientes/as", tem reconhecido aos mesmos que o ciberataque teve lugar em abril de 2023, e tem admitido que se viram comprometidos dados identificativos (nomes, apellidos e RG) e de contacto (telefones e direcção postal) de alguns clientes que figuravam registados em sua antiga plataforma de e-commerce, que levava inativo três anos.
Ademais, comprometeu-se a tratar de mitigar "o possível impacto do ataque", conquanto o dano já está facto: "Ao ter obtido os ciberdelincuentes informação pessoal da vítima, podem enviar-lhe uma comunicação (correio eletrónico, telefonema telefónico, etcétera) totalmente personalizada para que confie na veracidad da mensagem e, deste modo, perpetrar um possível delito de fraude", denúncia Facua.
Simulacros de phishing
Cecotec tem anunciado que também levará a cabo "simulacros de pishing" para tentar controlar a hemorragia. Tal e como explica o Instituto Nacional de Ciberseguridad (Incibe), em caso que a AEPD proceda a efectuar a sanção, os consumidores afectados estarão legitimados a reclamar mediante demandas pela via civil a correspondente indemnização por danos e prejuízos, sempre que se prove que o dano produzido é consequência de uma má praxis por parte da organização que custodiava os dados.
Ademas, explica que as fugas de informação podem se produzir das seguintes formas:
- Desde dentro de forma acidental. Isto é, podem produzir-se por descuido ou desconhecimento de um empregado. Por exemplo, que envie um correio eletrónico à pessoa equivocada, que deixe informação sensível à vista, que esqueça um dispositivo num lugar público, etc.
- Desde dentro de forma intencionada. Em ocasiões, um empregado descontentamento pode fazer muito dano à organização e utilizar a informação da que dispõe de forma malintencionada ou a divulgar sem consentimento.
- Por vulnerabilidades de segurança. As brechas de segurança nos sistemas podem implicar que, quem as descubra as aproveite para obter seu próprio benefício.
- Por ataques de engenharia social. Neste caso, podem estar dirigidas a algumas empresas mais especificamente ou ser campanhas gerais.