Nos últimos anos, a TechCrunch tem se dedicado a relembrar alguns dos piores vazamentos de dados e incidentes de segurança mal geridos, na expectativa — quem sabe! — de que as corporações aprendam com as calamidades do passado e evitem repetir os mesmos erros. Para a surpresa de ninguém, aqui estamos novamente, este ano, listando comportamentos inadequados que se repetem de um novo grupo de empresas. A seguir, vamos explorar algumas das falhas mais significativas na gestão de dados e as consequências devastadoras que afetaram milhões de pessoas ao longo de 2024.
23andMe e o escândalo do vazamento de dados genéticos
Em 2023, a gigante de testes genéticos 23andMe perdeu dados de genética e ancestralidade de quase 7 milhões de clientes. O vazamento ocorreu devido ao acesso por hackers que conseguiram contornar a segurança e acessar milhares de contas. Apenas em resposta a essa situação, 23andMe decidiu implementar, tardiamente, a autenticação de múltiplos fatores, uma medida de segurança que poderia ter evitado a violação de contas.
Logo após a confirmação do vazamento, a 23andMe tomou um caminho surpreendente ao tentar desviar a culpa para os usuários, afirmando que os clientes não haviam protegido suas contas adequadamente. Essa postura gerou uma reação negativa, com advogados representando um grupo de clientes processando a empresa, classificando a defesa como “nonsense”. As autoridades do Reino Unido e do Canadá logo iniciaram uma investigação conjunta sobre o incidente de dados da 23andMe que impressionou o mercado e gerou preocupação com a falta de segurança na gestão de informações sensíveis. Em um movimento que evidenciou a crise da empresa, ainda em 2023, a 23andMe demitiu 40% de sua equipe devido a um futuro financeiro incerto — um reflexo direto da perda massiva de dados dos clientes.
Change Healthcare: meses de incertezas para a saúde americana
A Change Healthcare, uma empresa de tecnologia em saúde que passou despercebida até este ano, foi severamente impactada por um ciberataque que forçou a paralisação de sua rede. Com a Change, que pertence ao gigante de seguros de saúde UnitedHealth Group, lidando com a cobrança e seguros para milhares de prestadores de saúde nos Estados Unidos, o ataque levou a interrupções significativas em todo o sistema de saúde do país. Esse incidente não apenas frustrou pacientes que não conseguiam receber medicamentos prescritivos, mas também colocou em risco a estabilidade financeira de prestadores de saúde ameaçados por falências devido ao ataque. Não menos grave foi o fato de a Change extrater um resgate de $22 milhões pago aos hackers, só para logo após ter que ceder a outro grupo de invasores para que eles eliminassem dados roubados.
Os desdobramentos desse incidente foram revelados apenas em outubro, quase sete meses depois, colocando em cheque a segurança do sistema de saúde dos EUA e atingindo mais de 100 milhões de indivíduos cujas informações privadas foram comprometidas. Este vazamento não apenas se destacou como o maior ataque à saúde do ano, mas também levantou alertas sobre a eficácia das medidas de segurança no setor.
O hack da Synnovis e suas consequências no sistema de saúde do Reino Unido
No Reino Unido, a Synnovis, uma fornecedora de serviços de patologia situada em Londres, enfrentou meses de interrupção após ser alvo de um ataque de ransomware. A ação, reivindicada pelo grupo Qilin, resultou na incapacidade de milhares de pacientes na região sudeste de Londres de realizar testes de sangue com seus médicos, resultando no cancelamento de diversas consultas e cirurgias. A Unite, o principal sindicato do Reino Unido, chegou a anunciar que os funcionários da Synnovis fariam greve em dezembro devido ao impacto alarmante sobre o trabalho dessas equipes, que foram forçadas a cumprir horas extras sem acesso a sistemas essenciais.
O ataque causou a exposição de 400 gigabytes de dados sensíveis de pacientes, a informação de que não se sabe quantos pacientes foram afetados ainda gera preocupação, revelando fragilidades nas redes de segurança em sistemas de saúde.
Snowflake: um efeito dominó de invasões cibernéticas
Outra empresa que enfrentou um grande revés foi a Snowflake, conhecida por suas soluções em computação em nuvem, que se viu no epicentro de uma série de invasões envolvendo seus clientes corporativos, como AT&T, Ticketmaster e Santander Bank. Os hackers conseguiram acesso através de credenciais de login descarregadas por malware instalado nos computadores de funcionários de empresas que dependiam da Snowflake. A falta de um protocolo de segurança rigoroso permitiu que esses cibercriminosos acessassem e mantivessem em cativeiro vastos bancos de dados de informação.
A Snowflake, embora tenha reconhecido os incidentes e declarado que a situação se deu por uma “campanha direcionada” que explorava a autenticação de um único fator, somente após o ocorrido decidiu implementar medidas de segurança mais rigorosas, como a autenticação multifatorial por padrão.
Controvérsia em Columbus, Ohio, sobre um ataque de ransomware
Em um caso curioso, a cidade de Columbus, Ohio, processou um pesquisador de segurança após ele relatar com precisão um ataque de ransomware que comprometera dados pessoais de seus residentes. O prefeito Andrew Ginther adotou uma postura proativa, tentando garantir aos cidadãos que os dados roubados estavam protegidos contra os invasores. Contudo, a realidade era bem diferente, já que o pesquisador havia identificado que dados de pelo menos meio milhão de cidadãos, incluindo números de previdência social e informações sensíveis, estavam acessíveis aos hackers.
Embora a cidade tenha conseguido uma liminar contra o pesquisador, a medida foi vista como uma tentativa de silenciar uma voz crítica em vez de abordar a falha de segurança. Posteriormente, o governo municipal desistiu do processo, mas as preocupações sobre a transparência e a integridade dos sistemas de segurança permaneceram em foco.
Salt Typhoon: um ataque apoiado por legislação problemática
Um caso alarmante de vulnerabilidade institucional ocorreu quando hackers, conhecidos como Salt Typhoon, exploraram uma antiga lei que não só facilitou sua entrada nas redes de gigantes das telecomunicações, como também permitiu o acesso às rodagens de comunicação de políticos americanos de alto escalão. Essa situação expôs dados confidenciais, levando as autoridades a aconselharapara a utilização de aplicativos de mensagens criptografados para resguardar a privacidade dos cidadãos.
O enigma da violação de dados na MoneyGram
O gigante das transferências de dinheiro MoneyGram também enfrentou uma violação em setembro deste ano, sendo incapaz de informar o número exato de clientes impactados até hoje. Após dias de inatividade inexplicável, a empresa apenas confirmou um “problema de segurança cibernética”. As investigações subsequentes revelaram que dados pessoais e informações de transações foram expostos, incluindo números de segurança social e documentos de identificação.
A enorme violação da Hot Topic: silêncio ensurdecedor
Por fim, este ano, a Hot Topic se tornou célebre por uma violação que afetou 57 milhões de clientes. Apesar do tamanho do vazamento, a empresa optou por não comentar publicamente sobre o incidente, ignorando tentativas inúmeros pedidos de novidades. Dados recuperados por plataformas de monitoramento mostraram que informações sensíveis, como endereços de e-mail e detalhes de cartões de crédito, haviam sido comprometidas, mas a falta de resposta da empresa levanta sérias questões sobre a ética empresarial e responsabilidade no tratamento de dados dos clientes.
Esses exemplos evidenciam como a segurança cibernética pode, em última análise, impactar a vida cotidiana das pessoas comuns. Embora as medidas de proteção possam ser complexas, é a responsabilidade corporativa que se destaca, uma vez que suas ações ou a falta delas têm consequências diretas sobre a privacidade e a segurança dos usuários.
Portanto, fica a pergunta: Quão seguros estamos em um mundo tão interconectado, onde os dados pessoais são essenciais para o funcionamento de serviços básicos? A tecnologia avança, mas as empresas devem, igualmente, avançar em suas obrigações de proteger os dados que administram. Afinal, é a confiança do consumidor que está em jogo.
