Proezas ou falhanços? A Dashlane revela os piores “Password Offenders” de 2021
O ano de 2021 foi marcado pelo 60.º aniversário da invenção da password de computador, mas foi também o ano em que aconteceram alguns dos piores percalços relacionados com passwords
Em 2021, estamos a celebrar o 60.º aniversário da invenção da password de computador, mas este é também o ano em que ocorreram alguns dos piores percalços relacionados com passwords deste século. Para honrar este marco histórico, a Dashlane acaba de anunciar a sua sexta lista anual dos piores “Password Offenders”. Depois dos acontecimentos deste último ano, que nos forçaram a viver as nossas vidas online, talvez pudéssemos ter pensado que, tanto empresas como utilizadores, tivessem desenvolvido as duas capacidades de cibersegurança para controlar melhor a atividade fraudulenta e evitar violações.
“Se as empresas não começarem a implementar práticas positivas relacionadas com passwords em todos os departamentos, as violações irão apenas tornar-se maiores e mais assustadoras”, lembra JD Sherman, CEO da Dashlane. “Se as empresas fossem carros, as pessoas não iriam embora sem fechar as janelas e trancar as portas. No entanto, aplicando esta analogia às empresas, os utilizadores de computador parecem estar a deixar os carros ligados e a chave na ignição. O trabalho árduo associado a uma boa higiene online fica resolvido com um gestor de passwords”, conclui.
Tão “mal comportados” que foram mencionados duas vezes
Tanto SolarWinds, como COMB e Verkada já tinham recebido um aviso na lista de “Worst Password Awards” lançada pela Dashlane a meio do ano, mas uma lista anual de piores infortúnios com passwords não estaria completa sem estas infelizes fugas de password, que são agora relembradas:
- SolarWinds: Em fevereiro de 2021, tanto atuais como antigos responsáveis da SolarWinds culparam um estagiário por utilizar a (totalmente insegura) password “solarwinds123”, que foi divulgada online. Seria aqui que faríamos um comentário, mas a congressista norte-americana Katie Porter disse-o melhor do que ninguém: “Eu tenho uma password mais forte do que 'solarwinds123' para impedir que os meus filhos vejam demasiado YouTube no seu iPad”.
- COMB: COMB significa - nada mais nada menos - que “Compilation of Many Breaches” (Compilação de Muitas Violações de Dados). Por muito mau que soe, COMB é o resultado de um fórum de hacking online que publicou mais de três mil milhões de e-mails e passwords únicos recolhidos de anteriores fugas de informação da Netflix, LinkedIn, Bitcoin, e muito mais. Com 4,7 mil milhões de pessoas online, a COMB incluiu os dados de quase 70% dos utilizadores globais da Internet! Tanto previsível como doloroso (por favor, não reutilize as suas passwords!).
- Verkada: Depois de um coletivo internacional de hackers ter violado os seus sistemas com um nome de utilizador e password encontrados na Internet, estes acederam às câmaras dos clientes Verkada, que variavam desde o “Technoking” das fábricas e armazéns da Tesla até aos ginásios Equinox, hospitais, prisões e escolas. É pouco provável que Elon Musk goze com isto no seu próximo monólogo do “Saturday Night Live” - as violações de dados evitáveis não são motivo de riso.
- RockYou2021: “We will, we will rock you”… ou “hack you”. Gostamos de chamar a esta a Rainha de todas as fugas de passwords. Um utilizador de um fórum publicou um enorme ficheiro .txt com 100 GB que continha 8,4 mil milhões de passwords.
- Facebook: Ou Meta? Não temos a certeza de como lhe chamar, mas o que sabemos é que 2021 não tem sido o seu ano. 533 milhões de utilizadores de Facebook foram expostos nesta violação de dados. Continua assim, Facebook - a forma como lidam com a privacidade dos dados continua a ser um tema sumarento de conversa em todos os jantares.
- Ticketmaster: Especialistas em bilhetes, mas claramente não em passwords. Os colaboradores utilizavam password obtidas de forma ilegal para piratear os sistemas informáticos de uma empresa rival. Durante um ano em que as pessoas evitaram tossir, a empresa de venda e distribuição de bilhetes “tossiu” uma multa de 10 milhões de dólares relativa a este ataque.
- GoDaddy/WordPress: A GoDaddy domina a Internet, mas não domina a segurança das passwords. Em 2021, os dados de cerca de 1,2 milhões dos seus clientes foram expostos depois de hackers terem obtido acesso ao ambiente de alojamento WordPress gerido pela empresa.
- ActMobile Networks: Afinal o “P” de VPN significa público ou privado? A ActMobile Networks, que opera várias marcas VPN, continua a negar a responsabilidade em relação a 45 milhões de registos de utilizadores que incluíam endereços de e-mail, passwords encriptadas, nome completo e nome de utilizador; 281 milhões de registos de dispositivos de utilizadores incluindo endereço IP, código postal, dispositivo e ID de utilizador; e 6 milhões de registos de compra incluindo o produto comprado e recibos.
- DailyQuiz.me: Inquérito rápido: quantas credenciais foram roubadas de contas de utilizadores no website DailyQuiz.me? A resposta é 8,3 milhões. Os atacantes exfiltraram a base de dados do site, que foi depois oferecida para venda em fóruns underground e canais de Telegram. Os conteúdos da base de dados incluíam passwords em texto simples, e-mails e endereços IP. A população da cidade de Nova Iorque é de 8,4 milhões. Vamos deixá-lo sentar-se a pensar nisto por algum tempo.
- New York City Law Department: Enquanto muitos acreditam que a cidade de Nova Iorque lidou bem com a Covid-19, o mesmo não se aplica ao departamento jurídico da cidade no que diz respeito à gestão das suas credenciais online. O departamento jurídico de Nova Iorque detém alguns dos segredos mais bem guardados da cidade: evidência de má conduta policial, identidades de crianças acusadas de crimes graves, registos médicos de queixosos e dados pessoais de milhares de funcionários da cidade. Mas tudo o que foi preciso para um hacker se infiltrar na rede da agência de mil advogados, em junho, foi a password de e-mail roubada de um trabalhador.
A lista dos piores “Password Offenders” funciona como um lembrete anual de como é fácil cometer uma gafe na Internet, mesmo quando pensamos que estamos protegidos. Dados do relatório Verizon’s 2021 Breach Investigations mostram que o custo médio de uma violação de dados é de 4,23 milhões de dólares e que 80% das violações são causadas por passwords fracas, reutilizadas e roubadas de colaboradores.
A Dashlane deixa conselhos práticos para ajudar as empresas a evitar que os seus colaboradores “mordam o isco”:
- Criar uma cultura de segurança onde os colaboradores percebam o seu papel na proteção dos dados e recursos informáticos da empresa, sejam participantes ativos em conversações a decorrer sobre segurança, e tenham as ferramentas necessárias para manter bons hábitos de segurança sem impedir o seu trabalho.
- Dar formação aos colaboradores sobre formas de identificar e reportar suspeitas de incidentes e ameaças à segurança. Considerar a criação de um e-mail específico ou canal para o qual estes possam contactar.
- Adotar tecnologias como segurança endpoint, gestores de passwords e segurança de e-mail.
- Medir a eficácia do seu programa. Alguns gestores de passwords incluem uma funcionalidade de saúde de password que rastreia as pontuações de segurança da password em toda a empresa ao longo do tempo.
- Permanecer atento. Utilizar ferramentas como o BusinessBreachReport.com para avaliar a eficácia da segurança da organização.
Post A Comment:
0 comments: