A segurança da informação tem sido uma preocupação constante para empresas de todos os setores nos últimos anos. Infelizmente, mesmo as empresas mais renomadas não estão imunes a violações de dados e incidentes de segurança. Em 2024, os eventos revelaram uma série de falhas constrangedoras que, mais uma vez, nos fazem questionar a seriedade das práticas de segurança em grandes corporações. TechCrunch, ao longo dos anos, tem se esforçado para destacar esses problemas na esperança de que outros gigantes corporativos reconsiderem suas abordagens de segurança, mas a realidade é que, novamente, estamos lidando com comportamentos inadequados que parecem se repetir com um novo conjunto de empresas. Portanto, vamos iniciar um olhar mais detalhado sobre as violações de dados mais significativas e mal geridas que marcaram este ano, analisando tanto grandes empresas quanto eventos que passaram despercebidos, mas que merecem destaque.
O primeiro destaque fica por conta da gigante de testes genéticos 23andMe, que enfrentou um brutal ataque de hackers em 2023, resultando na exposição de dados de aproximadamente 7 milhões de clientes. O que ocorreu a seguir foi emblemático para a indústria de segurança: em vez de assumir a responsabilidade pela falha de segurança, a empresa decidiu desviar a culpa para os usuários, alegando que a falta de segurança em suas contas foi a causa do roubo de dados. Essa tentativa de deslocar a responsabilidade foi prontamente desafiada por advogados de usuários afetados, que consideraram as alegações “nonsense” e ainda culminou em uma investigação conjunta por parte das autoridades do Reino Unido e do Canadá. Como se não fosse suficiente, a empresa, mais tarde no ano, anunciou demissões em massa, atingindo 40% do seu quadro de funcionários, enquanto sua base de dados genéticos, que é monumental, se tornava um fardo financeiro sem precedentes.
Outra empresa que se tornou alvo de críticas foi a Change Healthcare, uma fornecedora de tecnologia de saúde que enfrentou um ciberataque significativo em fevereiro. Este ataque causou uma paralisação total de suas operações, resultando em dificuldades extremas para milhares de hospitais e consultórios médicos em toda a América. A empresa não conseguiu confirmar a extensão total do roubo de dados até outubro, quando finalmente revelou que mais de 100 milhões de pessoas tiveram suas informações pessoais de saúde comprometidas. Esse evento não só expôs as vulnerabilidades de segurança da empresa, mas também gerou indignação pública, especialmente entre aqueles que precisavam de cuidados médicos. A mudança no comportamento em relação à segurança, caracterizada pela falta de autenticação multifatorial, foi uma grande falha na manutenção do sigilo das informações privadas de saúde.
Nos idos de junho, o Reino Unido presenciou um ataque cibernético que afetou os serviços de saúde devido ao ataque de ransomware contra a Synnovis, empresa de patologia que atendeu pacientes em Londres. Este ataque resultou na incapacidade de realizar exames de sangue e na interrupção de procedimentos cirúrgicos, deixando milhares sem atendimento por mais de três meses. O sindicato Unite da Grã-Bretanha relatou um impacto alarmante sobre a saúde mental dos funcionários, forçados a trabalhar em condições desgastantes devido à perda temporária dos sistemas. A companhia foi alvo de críticas não apenas pela ineficácia em proteger dados, mas também pela falta de planejamento que poderia ter evitado tal desastre.
Embora muitos possam pensar que as grandes infrações sejam as mais relevantes, pequenas companhias também causaram escândalos impropriados. A MoneyGram, um nome consolidado no setor de transferências de dinheiro, experimentou uma invasão que causou grande preocupação aos seus clientes. Apesar de o incidente ter sido rapidamente abafado, logo se descobriu que dados sensíveis dos clientes haviam sido acessados, incluindo números de identificação governamentais e detalhes de transações. A empresa viveu um paradoxo, onde se tornou uma das maiores empresas de assinatura, mas não conseguiu proteger adequadamente os dados de clientes na era digital.
Um acontecimento que causou alvoroço em Columbus, Ohio, envolveu a cidade processando um pesquisador de segurança que conseguiu informações sobre um ataque de ransomware que os oficiais alegaram ser menos devastador do que realmente foi. A cidade foi criticada por uma tentativa suspeita de silenciar a verdade, enquanto a população clamava por mais transparência sobre a situação.
Como uma cereja no topo do bolo de desastres de segurança, a empresa MoneyGram, mais uma vez, viu sua reputação ser arrastada como resultado de uma violação. Sem uma posição clara sobre quantos clientes foram afetados, esse exemplo é um destacado alerta para todas as empresas que negligenciam a importância da transparência durante e após uma crise de segurança.
Por fim, a situação se agrava com a revelação de um ataque perpetrado por um grupo chamado Salt Typhoon contra algumas das maiores empresas de telefonia e internet dos Estados Unidos. A revelação de que dados sensíveis de políticos e funcionários de alto escalão estavam em risco trouxe à tona discussões sérias acerca da vulnerabilidade das infraestruturas essenciais e a crescente necessidade de medidas de segurança mais rigorosas.
As lições aprendidas com esses incidentes não podem ser ignoradas. À medida que os dados dos cidadãos se tornam cada vez mais digitais e interconectados, as empresas que não levarem a sério a proteção das informações estarão brincando em um campo minado. As violações de dados que ocorreram em 2024 não apenas destacam falhas individuais nas práticas de segurança, mas também levantam questões mais amplas sobre a confiança que os consumidores têm em empresas que deveriam priorizar a integridade e a confidencialidade de seus dados. À medida que o ano avança, a esperança é que as lições do passado sejam lembradas e que novas abordagens em segurança da informação sejam implementadas de forma eficaz.
