Corrija seu software. Segmente sua rede. Monitore intrusos. De acordo com especialistas em tecnologia, esses são princípios básicos de segurança para empresas de qualquer tamanho. Mas quando se é a gigante da indústria Equifax – uma empresa que possui quantidades impressionantes de informações altamente confidenciais sobre mais de 200 milhões de americanos – é quase impensável não implementar essas proteções fundamentais. Um acordo FTC, CFPB e State AG de pelo menos US$ 575 milhões ilustra o prejuízo para os consumidores quando as empresas ignoram ameaças razoavelmente previsíveis (e evitáveis) a dados sensíveis. Continue lendo para dicas de segurança para o seu negócio e o que os consumidores podem fazer para obter compensação por suas perdas e se inscrever para monitoramento de crédito gratuito.
A violação de dados da Equifax tem estado nas manchetes, mas o que aconteceu nos bastidores? De acordo com o reclamaçãoem março de 2017, o US-CERT – especialistas cibernéticos da Homeland Security – alertou a Equifax e outras empresas sobre uma vulnerabilidade crítica de segurança em software de código aberto usado para construir aplicativos web Java. O alerta alertou qualquer pessoa que usasse uma versão vulnerável do software para atualizá-lo imediatamente para uma versão corrigida gratuita. Não demorou muito para que a imprensa noticiasse que hackers já haviam começado a explorar a vulnerabilidade.
A equipe de segurança da Equifax recebeu o alerta US-CERT em 9 de março de 2017 e o enviou a mais de 400 funcionários com instruções de que os funcionários responsáveis pelo software afetado deveriam corrigi-lo dentro de 48 horas, conforme exigido pela Política de Gerenciamento de Patches da empresa. Dentro de uma semana, a Equifax realizou uma varredura destinada a procurar formas vulneráveis do software remanescentes em sua rede. Mas a varredura conduzida pela Equifax não estava à altura da tarefa, o que acabou sendo devastador para os consumidores. De acordo com a denúncia, a empresa usou um scanner automático configurado incorretamente que não conseguiu detectar se o software vulnerável estava funcionando e bem em uma parte do Sistema Automatizado de Entrevistas com Consumidores (ACIS) da empresa. O processo alega que a Equifax não detectou a vulnerabilidade “gergelim aberto” em seu sistema durante meses.
Quão sensíveis eram os dados armazenados no portal ACIS? Se já faz um tempo que você não dá aquele grito direto de “Home Alone”, agora pode ser a hora, porque foi o portal onde a Equifax coletou informações sobre disputas de consumo, incluindo documentação enviada pelos consumidores. Além disso, a Equifax utilizou essa plataforma para congelamento de crédito ao consumidor, alertas de fraude e até mesmo solicitações de relatório de crédito anual gratuito. Assim, milhões de consumidores interagiram com o portal ACIS todos os anos. O reclamação descreve os detalhes, mas basta dizer que para os infocriminosos que procuram números de Segurança Social, datas de nascimento, números de cartão de crédito, datas de validade e assim por diante, os dados no ACIS eram coisas primordiais de grau A.
Para agravar o prejuízo para os consumidores estava o facto de o ACIS ter sido originalmente construído na década de 1980 e até mesmo documentos internos da Equifax se referirem a ele como “arcaico” e “tecnologia antiquada”. Além do mais, a denúncia alega que quando a Equifax enviou aquele e-mail para mais de 400 de seus funcionários alertando-os sobre a necessidade do patch, a empresa não alertou o funcionário responsável pela parte do ACIS com a vulnerabilidade.
A Equifax não conseguiu descobrir a vulnerabilidade não corrigida por mais de quatro meses. No final de julho de 2017, a equipe de segurança da empresa detectou tráfego suspeito no portal ACIS. Eles o bloquearam, mas identificaram tráfego adicional questionável no dia seguinte. Foi quando a Equifax retirou a plataforma do ar e contratou um consultor forense que determinou que o hackeré já havia explorado a vulnerabilidade. Mas fica pior. O consultor descobriu que, uma vez dentro do sistema ACIS, os invasores conseguiram obter acesso a outras partes da rede e vasculhar dezenas de bancos de dados não relacionados que também continham informações altamente confidenciais. Além disso, acessaram um espaço de armazenamento conectado aos bancos de dados ACIS que incluía credenciais administrativas armazenadas em texto simples, que usaram para obter dados ainda mais confidenciais. De acordo com a análise forense da Equifax, os invasores conseguiram roubar (entre outras coisas) aproximadamente 147 milhões de nomes e datas de nascimento, 145 milhões de números de Seguro Social e 209.000 números de cartões de crédito e débito e datas de validade.
O reclamação alega que uma série de ações – e omissões da Equifax – levaram a violações da Lei FTC e da Regra de Salvaguardas Gramm-Leach-Bliley, que exige que as instituições financeiras implementem e mantenham um programa abrangente de segurança da informação. Por exemplo:
- A Equifax não verificou se os funcionários seguiram o processo de correção;
- A Equifax não conseguiu detectar a necessidade de um patch porque a empresa usou uma verificação automatizada que não estava configurada corretamente para verificar todos os locais que poderiam estar usando o software vulnerável;
- A Equifax não conseguiu segmentar sua rede para limitar a quantidade de dados confidenciais que um invasor poderia roubar;
- A Equifax armazenou credenciais e senhas de administrador em arquivos de texto simples desprotegidos;
- A Equifax não conseguiu atualizar os certificados de segurança que haviam expirado 10 meses antes; e
- A Equifax não detectou invasões em sistemas “legados” como o ACIS.
A denúncia cita esses fatores como fatores que contribuíram para uma violação de proporções massivas de informações pessoais dos consumidores.
O povoado exige que a Equifax pague pelo menos US$ 300 milhões a um fundo que fornecerá aos consumidores afetados serviços de monitoramento de crédito, compensará as pessoas que compraram serviços de monitoramento de crédito ou identidade da Equifax e reembolsará os consumidores por despesas do próprio bolso incorridas como resultado do 2017 violação de dados. A Equifax acrescentará mais US$ 125 milhões ao fundo se o pagamento inicial não for suficiente para compensar os consumidores por suas perdas. A Equifax também pagará US$ 175 milhões a 48 estados, o Distrito de Columbia e Porto Rico, e uma multa civil de US$ 100 milhões ao CFPB. (A FTC não tem autoridade legal para aplicar sanções civis num caso como este.)
As soluções financeiras são apenas parte do acordo. De acordo com o pedido, a Equifax deve implementar um programa abrangente de segurança da informação, exigindong – entre outras coisas – que:
- Equifax deve corealizar avaliações anuais dos riscos de segurança internos e externos, implementar salvaguardas para enfrentá-los e testar a eficácia dessas salvaguardas;
- Equifax deve umgarantir que os prestadores de serviços com acesso às informações pessoais armazenadas pela Equifax também implementem programas de segurança apropriados; e
- Equifax deve get certificações anuais do Conselho de Administração da Equifax dizendo, com efeito, “Sim, atesto que a empresa está cumprindo o requisito do pedido de um programa de segurança da informação apropriado”.
O acordo Equifax é um estudo sobre como erros básicos de segurança podem ter consequências surpreendentes. Aqui estão algumas dicas que outras empresas podem tirar do caso – e não precisamos procurar muito para obter conselhos. As citações são todas do folheto da FTC, Comece com Segurança.
“Atualizar e corrigir software de terceiros.” As empresas devem tratar um aviso de segurança do US-CERT com a maior seriedade. A Política de Gerenciamento de Patches de 48 horas da Equifax pode parecer boa no papel, mas o papel não consegue corrigir uma vulnerabilidade crítica de software. Obviamente, você deve instruir sua equipe de TI a implementar patches e correções apropriados. Mas você também precisa de um sistema de cinto e suspensórios para garantir que sua empresa cumpra com eficácia.
“Garantir a configuração adequada.” Não há nada de intrinsecamente errado em usar uma verificação automatizada de vulnerabilidades, mas se ela não estiver configurada para saber onde procurar, será apenas mais uma coleção de zeros e uns. A denúncia alega que a Equifax agravou o problema ao não manter um inventário preciso de quais sistemas executavam quais softwares – uma prática fundamental que teria facilitado a localização da vulnerabilidade na plataforma ACIS.
“Monitore a atividade em sua rede.” Quem está entrando e o que está saindo? Isso é o que uma ferramenta eficaz de detecção de intrusões pergunta quando detecta atividades não autorizadas. Um sistema eficaz de detecção de intrusões poderia ter ajudado a Equifax a detectar a vulnerabilidade mais cedo, reduzindo assim o número de consumidores afetados.
“Segmente sua rede.” A ideia por trás dos compartimentos estanques dos navios é que mesmo que uma parte da estrutura sofra danos, a embarcação inteira não afundará. Segmentar a sua rede – armazenar dados confidenciais em locais seguros separados no seu sistema – pode ter um efeito atenuante semelhante. Mesmo que um invasor entre furtivamente em uma parte do seu sistema, uma rede segmentada adequadamente pode ajudar a evitar que uma operação de dados se transforme em um OMG completo.
A FTC oferece mais conselhos de segurança para empresas. Você é um consumidor afetado pela violação da Equifax? Visite ftc.gov/equifax (também disponível em espanhol) para obter informações sobre como solicitar compensação.
