Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
O termo onda expansiva refere-se ao intenso impulso de hiperpressurização criado ao detonar um explosivo de alto poder. Esse impulso gera lesões que são caracterizadas por mudanças anatômicas e fisiológicas produzidas pela força de hiperpressurização direta ou refletora que impacta na superfície dos corpos. Como bem diz o termo, é necessário a explosão de um dispositivo de alto poder e essa explosão altera os objetos que estão diretamente no raio de ação dessa onda..
Agora, o que isso tem a ver com a segurança da informação e as filtragens de dados? Aí é onde surge a pergunta mais importante deste artigo: é a informação o nosso dispositivo de alto poder, que pode explodir a qualquer momento? Se a informação é esse explosivo, a sua detonação (referente à filtragem de dados) pode afetar alvos próximos? Poderia até mesmo ter um alcance maior? Ao longo deste post, analisaremos o caso da empresa T-mobile e como as suas recentes filtragens estão tendo consequências em várias áreas.
A T-Mobile é uma empresa de telecomunicações sem fio que oferece serviços de rede celular, especialmente nos Estados Unidos e em todo o mundo. A história da T-Mobile remonta a 1994, quando foi fundada em Bellevue, Washington, EUA, como VoiceStream Wireless PCS, uma empresa de telecomunicações sem fio. Inicialmente, a empresa operava no noroeste do Pacífico dos Estados Unidos, mas expandiu-se rapidamente para outras regiões do país. Em 2001, a empresa alemã Deutsche Telekom adquiriu a VoiceStream Wireless PCS e posteriormente a renomeou como T-Mobile USA em 2002. Com essa aquisição, a T-Mobile tornou-se a primeira empresa de telecomunicações sem fio de propriedade de uma empresa europeia a operar nos Estados Unidos (o que pode levar à confusão sobre a nacionalidade da empresa).
En resumo, quando se trata de ondas expansivas e uma empresa de telecomunicações afetada, temos um prato perfeito, com todos os ingredientes necessários para gerar a devida hiperpressurização (se você pulou a introdução e chegou aqui, eu explico a você o que é). Recentemente, a T-Mobile sofreu várias violações de dados. Cerca de 6 dias atrás, houve uma segunda violação de dados em 2023, acendendo o alerta para todos os usuários da empresa. Essas recentes violações de dados ocorreram após a primeira, que aconteceu no final de fevereiro, onde os dados de 37 milhões de pessoas foram revelados. Embora o incidente recente tenha afetado apenas 836 clientes da empresa, a quantidade de informações expostas é realmente muito grande, expondo as pessoas afetadas a roubo de identidade e ataques de phishing que ainda são comuns em todo o mundo.
Muitas vezes, as violações de dados atuais podem ou não ser consequência de problemas de segurança ocorridos no passado distante ou não tão distante (anote isso para mais tarde). Se tivéssemos que fazer uma linha do tempo para tentar encontrar a raiz do problema, quando ocorre uma violação de dados, poderíamos viajar de volta no tempo para obter informações sobre os ataques anteriores realizados em uma empresa específica, no nosso caso, a T-Mobile.
É uma realidade que as equipes de resposta a incidentes (CSIRT) das empresas estejam cientes de todos os ataques que ocorrem em sua própria empresa. Essa tarefa é por si só titânica, porque não apenas implica que eles devem estar cem por cento atentos aos alarmes que os sistemas de defesa passiva nos fornecem, mas também devem estar atentos às notícias, aos comportamentos dos usuários, reduzir o impacto, restaurar a continuidade do negócio, prevenir futuros incidentes e também depender do funcionamento correto de outras equipes, somado a muitas outras tarefas. Agora, imagine que a toda essa enorme lista de tarefas adicionamos que eles também deveriam estar atentos aos vazamentos de outras empresas.
Essa onda expansiva, em um caso mais literal, tende a diminuir sua potência à medida que se afasta do objetivo principal. No entanto, se estamos falando sobre um ataque de dados, o dano que ocorre pode ou não depender da proximidade do foco do incidente. Isso ocorre porque os dados transcendem as fronteiras e, como explicado anteriormente, no caso de exemplo, não dependem da proximidade direta. Um dado sério pode impactar e atacar relações de confiança construídas anteriormente com o objetivo de adquirir um serviço.
Todos os Databreach devem nos preocupar?
Existem várias situações potencialmente arriscadas que poderiam nos prejudicar. Por exemplo, se a empresa afetada é uma empresa de telefonia, como é o caso, todas as empresas que compartilham a mesma base de dados ou todas as empresas relacionadas a essa empresa de telecomunicações podem ser muito mais impactadas do que o resto das empresas.
Devido a isso, uma receita para estar ciente de tudo seria filtrar as notícias de segurança de modo a se associar aos interesses de nossa empresa. Por exemplo, se somos uma entidade bancária, sabemos que existe uma conexão entre todas as outras entidades bancárias, portanto, uma afetação pode ser um alerta suficiente para prestar atenção a uma brecha nessa área.
Mas este é o caso mais simples. Conhecer realmente todas as interações que minha empresa tem com o ambiente é uma tarefa que envolve um aumento de consciência em relação aos recursos e aos dados que manejamos. É por isso que ter áreas que se encarreguem pontualmente da investigação ajuda muito nessas questões para retroalimentar a análise que pode ser feita por um CSIRT, com base no alcance que têm atualmente.
Outro ponto importante a ser considerado é que temos que proteger a identidade dos usuários de acordo com todas as filtragens que ocorrem. Ter motores que nos defendam de ataques de password spray costuma ser muito útil na hora de detectar se as contas dos usuários no âmbito empresarial estão sendo usadas em outros sistemas e também se essas contas usam senhas filtradas recentemente nos correspondentes Data Breach de maior relevância.
Quais perguntas devo me fazer?
Então, diante de filtragens, talvez seja mais importante fazer uma série de perguntas para avaliar o impacto correspondente à minha empresa e ver se é necessário ou não prestar a devida atenção. Dentro dos dados, devemos sempre levar em conta os seguintes pontos para sermos conscientes de nossa informação antes de questionar a interação com o Data Breach:
Preguntas prévias: