A relação oposta entre a privacidade do usuário e as vendas de publicidade da empresa continua a virar manchete, já que o Facebook e outras empresas são levadas em conta para o uso de dados pessoais.
Mas essa não é uma tendência recente, já que as empresas repetidamente comprometeram os dados pessoais ao longo dos anos na busca por crescimento e receita. Aqui estão algumas ocasiões dignas de nota quando a coleta de dados coloca suas informações pessoais em risco.
1. LocalBlox expõe 48 milhões de contas sociais
O LocalBlox é um agregador de dados de mídia social que recentemente chegou às manchetes por todos os motivos errados. Isso ocorre depois que a empresa de segurança cibernética UpGuard descobriu que a LocalBlox deixara os dados de 48 milhões de contas expostas.
“A Equipe de Risco Cibernético UpGuard agora pode confirmar que um repositório de armazenamento em nuvem contendo informações pertencentes ao LocalBlox, um serviço de pesquisa de dados pessoais e corporativos, foi deixado publicamente acessível, expondo 48 milhões de registros de informações pessoais detalhadas em dezenas de milhões de pessoas reunidas e raspada de várias fontes ”, afirmou a UpGuard em um relatório.
Mas os dados vazados não incluíam apenas detalhes da mídia social. Incluía muito mais informações pessoais. Os dados expostos incluíram nomes reais, endereços físicos, aniversários e muito mais. Além disso, os dados do usuário também incluíram detalhes de várias redes, como LinkedIn, Facebook e Twitter.
Como a UpGuard aponta, os criminosos usam esses dados para uma infinidade de golpes, de tentativas e ataques de phishing socialmente projetados. Como se proteger desses ataques de engenharia social Como se proteger desses ataques de engenharia social Quais técnicas de engenharia social um hacker usaria? e como você se protegeria deles? Vamos dar uma olhada em alguns dos métodos mais comuns de ataque. Leia mais, manipulação social e roubo de identidade.
2. Dados sobre 198 milhões de eleitores dos EUA expostos
Em 2017, uma empresa de dados contratada pelo Comitê Nacional Republicano (RNC) comprometeu os dados de quase todos os 200 milhões de eleitores registrados nos EUA.
A empresa, Deep Root Analytics, forneceu perfis aos eleitores americanos com base em suas informações pessoais. Para reunir esses dados, trabalhou com duas outras empresas: Targetpoint Consulting e DataTrust.
Isso resultou em uma coleção expansiva de informações. A informação que vazou incluiu nomes, endereços e números de telefone. Os dados também tinham modelos que previam a etnia e a religião de uma pessoa.
O vazamento resultou em uma ação coletiva contra o Deep Root Analytics. Afinal, a empresa expôs mais de 1, 1 terabytes de dados em seu servidor de nuvem não seguro.
3. Spammer vaza dados de 1, 4 bilhão de usuários
Embora as empresas de agregação de dados sejam legais, nem todos os coletores de dados trabalham dentro dos limites da lei. Este foi o caso da City River Media (CRM), uma enorme operação ilegal de spam que acidentalmente vazou os dados de mais de um bilhão de usuários.
O vazamento comprometeu 1, 4 bilhão de contas de e-mail combinadas com nomes reais, endereços IP de usuários e, às vezes, endereços físicos.
Como isso aconteceu? De acordo com investigadores do MacKeeper Security Research Center, do CSOOnline e do Spamhaus; Os backups Rsync configurados incorretamente deixaram os dados vulneráveis.
O único bom resultado disso é que o CRM, que se apresentava como uma empresa de marketing legítima, foi exposto como uma operação de spam que enviava mais de um bilhão de e-mails automáticos todos os dias. Chris Vickery, do MacKeeper, conseguiu acessar os registros de CRM do Hipchat, os registros de registro de domínios, os detalhes contábeis, o planejamento da infraestrutura, as notas de produção, os scripts e as afiliações comerciais. Ele então entregou esses detalhes às autoridades.
No entanto, novas empresas como essa surgem todos os dias, portanto, você deve tomar precauções para proteger seu endereço de e-mail dos spammers. 6 Precauções que você deve tomar contra coletores de e-mail e spammers O spam tem suas raízes na coleta de e-mails. Coleta de e-mail é o termo genérico para os métodos que os spammers (ou comerciantes de e-mail em massa) usam para obter endereços de e-mail em volumes. Poderia ser tão baixa tecnologia como ... Leia Mais.
4. Grindr compartilha status de HIV de seus usuários
Nem todos os dados pessoais vazados são o resultado de uma falha de segurança ou configuração incorreta. Como vimos no Facebook e no Cambridge Analytica Facebook Endereços do Cambridge Analytica Scandal Facebook Endereços do Cambridge Analytica Scandal O Facebook está envolvido no que ficou conhecido como o escândalo Cambridge Analytica. Depois de ficar em silêncio por alguns dias, Mark Zuckerberg já abordou as questões levantadas. Leia mais, às vezes, serviços e aplicativos coletam dados de usuários sociais e os entregam a terceiros.
A entrega de dados por Aleksandr Kogan à Cambridge Analytica violou os termos de serviços do Facebook. Mas o grande volume de dados coletados foi coletado dentro dos limites das políticas e da API do Facebook na época.
Da mesma forma, quando os usuários descobriram que terceiros tinham acesso ao status de HIV dos usuários do Grindr, eles também descobriram que isso era normal para a rede de relacionamentos LGBT. Os dados também incluíram a localização do GPS do usuário, o ID do telefone e o endereço de e-mail.
Os usuários consideraram isso uma violação grave de sua privacidade. A empresa compartilhou informações médicas particularmente confidenciais e geralmente confidenciais com duas outras empresas: Apptimize e Localytics.
A Grindr assegurou aos usuários que eles não vendiam nem vazavam os dados. Em vez disso, eles compartilhavam os dados para ajudar na otimização de aplicativos. Independentemente disso, a empresa anunciou mais tarde que deixaria de compartilhar o status de HIV dos usuários com terceiros.
Especialistas em segurança apontaram que o compartilhamento de informações tão sensíveis com terceiros aumenta a probabilidade de vazamento ou violação. Felizmente, existem ferramentas disponíveis on-line para ajudá-lo a verificar se suas contas on-line foram invadidas ou comprometidas Como verificar se suas contas on-line foram invadidas Como verificar se suas contas on-line foram invadidas A maioria dos vazamentos de dados deve-se a violações de contas e hacks. Veja como verificar se suas contas on-line foram invadidas ou comprometidas. Consulte Mais informação .
5. Registros vazados excedem a população do país
O maior vazamento de dados da África do Sul foi tão abrangente que o número de registros pessoais vazados excede toda a população do país. Não só o vazamento incluiu as informações pessoais da maioria das pessoas no país, mas também pessoas mortas. Os dados incluíram até mesmo os números de identificação (ID) de mais de 12 milhões de menores.
No total, os dados expuseram 60 milhões de números de identificação exclusivos, juntamente com informações pessoais, como detalhes de contato, nomes completos e muito mais. O vazamento foi particularmente grave, pois o número de identificação de um cidadão da África do Sul pode ser usado para coletar informações pessoais sobre eles, como aniversários, sexo e idade. Criminosos costumam usar esses números para roubar identidades ou cometer fraudes.
Então, como esses dados acabaram expostos? Um backup de banco de dados com o nome masterdeeds.sql foi localizado em um servidor não seguro voltado para o público. O especialista em cibersegurança e fundador da HaveIBeenPwned.com Troy Hunt foi informado sobre os dados, que foram expostos por pelo menos sete meses.
Uma empresa chamada Dracore agregou os dados e criou o banco de dados. Mas um de seus clientes, a Jigsaw Holdings, expôs os dados com um servidor não seguro.
6. Arquivos da Empresa de Dados Compartilhados no Twitter
A Modern Business Solutions, uma empresa norte-americana de gerenciamento de dados, encontrou-se no lado errado da opinião pública em 2016. Sua falta de segurança resultou na exposição de 58 milhões de registros de consumidores.
Um hacker conseguiu acessar e compartilhar as informações de milhões de pessoas, graças a um banco de dados do MongoDB não protegido. O hacker fez o download do banco de dados, carregou-o em um site público e compartilhou os links no Twitter. Bancos de dados MongoDB mal configurados são uma das muitas maneiras que hackers roubam informações 5 maneiras Hackers podem usar Wi-Fi público para roubar sua identidade 5 maneiras Hackers podem usar Wi-Fi público para roubar sua identidade Você pode amar usando Wi-Fi público - mas o mesmo acontece com os hackers. Aqui estão cinco maneiras pelas quais os cibercriminosos podem acessar seus dados privados e roubar sua identidade, enquanto você desfruta de um latte e um bagel. Leia mais de pessoas inocentes.
Nesse caso, os dados expostos incluíam nomes, datas de nascimento, endereços de email e postais, cargos, números de telefone, dados do veículo e endereços IP.
7. Milhões de Identidades Roubadas de Data Brokers
Preocupações com a privacidade colocadas pelas empresas de coleta de dados já existem há algum tempo. Mesmo em 2013, os perigos da coleta de dados vieram à tona quando se descobriu que os hackers haviam acessado vários servidores importantes de corretores de dados. Esse acesso permitiu que eles roubassem as informações de milhões de americanos.
Os hackers acessaram grande parte desses dados por meio de servidores configurados incorretamente, falhas de segurança e bancos de dados não protegidos, além de carregá-los em um site chamado SSNDOB. O próprio SSNDOB também era um agregador de dados que vendia informações roubadas.
Os dados roubados incluíam números de seguridade social, registros de crédito, verificação de antecedentes, aniversários, endereços e outros dados pessoais. Quando adolescentes hacktivistas violaram o SSNDOB, eles descobriram o quão extensos eram os registros. Até mesmo os endereços e informações pessoais de celebridades como Kanye West, Jay Z e Beyoncé; bem como figuras proeminentes, como a então primeira-dama Michelle Obama, tinham sido acessíveis.
A botnet do SSNDOB acessou os servidores dos principais corretores de dados, como LexisNexis Inc, Dun & Bradstreet e Kroll Background America Inc. O FBI finalmente lançou uma investigação sobre o assunto.
8. Alteryx vaza dados sobre 123 milhões de domicílios nos EUA
Em 2017, a UpGuard descobriu que a empresa de análise de dados Alteryx havia exposto os dados de 123 milhões de domicílios americanos por meio de um repositório de dados não seguro.
A informação de acesso público foi particularmente sensível, já que um dos parceiros da Alteryx é a agência de informação de crédito ao consumidor Experian. O repositório incluiu endereços residenciais, detalhes de contato, detalhes de hipoteca, históricos financeiros e histórico de compras. Qualquer pessoa com uma conta da Amazon Web Services pode acessar essas informações.
UpGuard descreveu os dados como “um vislumbre notavelmente invasivo das vidas dos consumidores americanos”. Felizmente, os dados não são mais acessíveis ao público, mas, como na maioria desses vazamentos, não se sabe ao certo quantas pessoas tropeçaram e baixaram as informações confidenciais.
O vazamento também lembrou aos consumidores o quanto as empresas de dados pessoais coletam. Até mesmo a navegação na Internet resulta em sites que coletam informações pessoais 5 Websites de Coisas Privadas Saiba mais sobre você sem o seu conhecimento 5 Websites de coisas particulares Aprendem sobre você sem o seu conhecimento Você ficaria surpreso ao saber que os sites coletam muitas informações sobre você enquanto navega? Essas coisas que os sites podem aprender sobre você enquanto lê suas páginas podem chocá-lo. Leia mais sobre você.
9. Outro questionário do Facebook resulta em dados do usuário vazados
Os usuários do Facebook ainda estão se recuperando do escândalo da Cambridge Analytica. Mas parece que a Cambridge Analytica não estava sozinha no uso de questionários do Facebook para coleta de dados Como seus dados no Facebook são coletados e usados para ganhar eleições Como seus dados no Facebook são coletados e usados para ganhar eleições O que você faz quando seus dados do Facebook são colhidos e manipulados para influenciar o curso da política internacional? Consulte Mais informação .
Segundo a New Scientist, pesquisadores da Universidade de Cambridge criaram um questionário chamado myPersonality. O questionário colheu dados sobre os participantes, que os pesquisadores enviaram para um banco de dados online. Centenas de pesquisadores de outras instituições puderam acessar esses dados para fins de pesquisa.
No entanto, medidas de segurança insuficientes expuseram esses dados por quatro anos. Embora apenas um login de colaborador registrado pudesse acessar os dados, um conjunto de credenciais de trabalho exposto comprometia qualquer segurança.
“Nos últimos quatro anos, um nome de usuário e senha de trabalho estão disponíveis on-line e podem ser encontrados em uma única pesquisa na web. Qualquer um que quisesse acessar o conjunto de dados poderia ter encontrado a chave para baixá-lo em menos de um minuto ”, disse a New Scientist.
Os dados incluíram informações pessoais de cerca de 3 milhões de usuários do Facebook e seus resultados de testes psicológicos.
10. Base de dados expõe 33 milhões de funcionários
Em 2017, o público descobriu que um banco de dados da Dun & Bradstreet sobre o governo dos EUA e funcionários corporativos havia vazado. Isso expôs mais de 33 milhões de registros, que incluíam detalhes como nomes, cargos e funções, salários, detalhes de contato e endereços de e-mail.
Se a Dun & Bradstreet parece familiar, é porque sua base de dados foi incluída na coleção do SSNDOB (mencionada anteriormente). A empresa, que agrega dados de funcionários e vende registros aos profissionais de marketing, negou a responsabilidade pelo vazamento. Eles criaram o banco de dados, mas a fonte provável do vazamento foi um de seus milhares de clientes.
Troy Hunt descobriu o vazamento depois que uma fonte lhe enviou o banco de dados. Hunt observou que os registros de funcionários do Departamento de Defesa compunham a maior parte dos dados. Isso os colocava em risco particular, pois os cargos, como analista de inteligência, engenheiro químico, soldado e sargento de pelotão, eram identificados nos dados - o que o torna útil para agências estrangeiras que podem querer se infiltrar ou atacar funções governamentais específicas.
“Perdemos o controle de nossos dados pessoais e, como [Tim] Berners-Lee disse há poucos dias, muitas vezes não temos como devolver às empresas os dados que preferimos não compartilhar”, disse Hunt em seu relatório sobre o vazamento da Dun & Bradstreet.
A maioria das pessoas afetadas pelo vazamento provavelmente não tinha ideia de que as empresas coletavam seus dados e as vendiam em listas cuidadosamente agregadas.
As empresas sabem mais sobre você do que você pensa
Em muitos desses incidentes, você não pode culpar as vítimas dos vazamentos de dados por suas informações chegarem ao domínio público. Em vez disso, as empresas coletaram esses dados de vários serviços e registros. Os consumidores muitas vezes não tinham ideia de que as empresas compartilhavam esses dados com terceiros.
É por isso que é importante verificar as políticas de privacidade dos serviços que você usa. Você também deve acompanhar as violações e vazamentos que possam afetá-lo.
Afinal, as empresas sabem muito mais sobre você que você espera. Mas você pode ter um papel mais ativo na proteção de seus dados. Certifique-se de verificar o nosso guia sobre como proteger sua privacidade on-line O guia completo para melhorar sua segurança on-line e defender sua privacidade Todo mundo quer seus dados, empresas respeitáveis e criminosos similares. Se você quiser construir suas defesas e se proteger on-line, deixe-nos guiá-lo sobre como melhorar sua segurança e proteger sua privacidade. Consulte Mais informação .
Crédito de imagem: AllaSerebrina / Depositphotos