Nós, seres humanos, usamos no máximo 3 senhas diferentes para acessar todos os nossos sistemas. Uma grande maioria das pessoas usa a mesma senha com pequenas variações. Ou seja, é bem provável que a senha do seu email seja a mesma senha que você usa em sua rede social favorita ou que o PIN de acesso a sua conta no banco seja a mesma do seu cofre em casa
A técnica de usar senhas vazadas de outros sistemas e tentar usá-la em todo e qualquer sistema, se chama credential stuffing.
|
Veja a primeira linha depois de “Não é resposta autoritativa:” e voilà: alt2.aspmx.l.google.com
No volume, as chances de encontrar uma credencial válida para email corporativo são de 6 para 100. Parece pouco, mas é importante lembrar que diariamente são disponibilizadas listas de grandes e micro vazamentos. Em um "dia bom" chegamos a identificar até 10 mil credenciais únicas na deep & dark web. São credenciais de centenas de milhares de empresas. Ou seja, de cada 10 mil credenciais 380 tem valor corporativo. Das 380, dentre 20 a 25 serão "quentes".
Acessando esses sistemas internos como o email corporativo o criminoso pode facilmente se passar por um usuário legítimo e requisitar informações de outras áreas ou, se ele tiver sorte, poderá encontrar informações valiosas na inbox da conta invadida.
A melhor maneira de se proteger contra a repercussão de um vazamento de dados é sendo rápido (sabendo primeiro) e agindo com responsabilidade e transparência total. Se você estiver monitorando o vazamento de informações ou credenciais na web superficial, deep ou dark web, poderá
(a) identificar o incidente,
(b) escalar internamente
(c) avisar os clientes e em casos mais drásticos
(d) levar o assunto, com uma resposta estruturada, para as autoridades policiais e reguladoras.
A LGPD (Lei nº 13.709), que foi publicada em 15 de agosto de 2018, estava prevista para vigorar já em 2020, entretanto foi adiada por conta da pandemia causada pelo novo coronavírus e agora entrará em vigor em agosto de 2021, adiamento que propiciou mais alguns meses para que as empresas se preparem para cumprir com as novas obrigações. Ao longo do seu texto deixa claro as penalidades para empresas que violarem o sigilo dos dados que mantem sob sua custódia
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I — advertência, com indicação de prazo para adoção de medidas corretivas;
II — multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
(…)
Na prática significa que a Autoridade Nacional de Proteção de Dados (ANPD), que ainda não existe mas será criada, poderá aplicar multas milionárias aos infratores. Um ponto a se destacar é a simplicidade com que se pode materializar um vazamento de dados. Ou seja, ao contrário das agências reguladoras tradicionais que consomem tempo e recursos para materializar os malfeitos das empresas sob o seu guarda-chuva, o vazamento de dados poderá ser facilmente identificado e comprovado, bastando a validação do usuário lesado.
Para quem tem interesse em ler mais sobre senhas frágeis, recomendo a leitura do nosso artigo Perfil da Senha do Brasileiro onde dissecamos uma base de milhões de senhas vazadas de domínios ".com.br" e mostramos quais são as combinações mais usadas dentre outras curiosidades.
Se você quer saber se sua empresa está na lista de empresas com vazamento, acesse hashcast.axur.com e faça o teste em tempo real.
Até a próxima!