A agência de viagens online Orbitz, uma subsidiaria da Expedia comunicou em seu site que dados pessoais e de cartões de pagamento de mais de 880 mil clientes foram expostos em um ataque de hackers.
A empresa tomou ciência do incidente em 1º de março de 2018 e segundo apontam as investigações realizadas pela empresa até o momento, o ataque afetou uma plataforma de reservas de viagens mais antiga entre os meses de outubro até dezembro de 2017. Além disso, os dados pessoais dos clientes que fizeram determinadass compras entre 1 de janeiro e 22 de junho de 2016 também podem ter sido acessados pelos atacantes.
Os dados roubados incluem nomes, endereços de email, números de telefone, sexo, data de nascimento, código postal, endereço residencial/comercial e dados bancários, incluindo informações confidenciais de cartões de pagamento. Devido a criticidade do caso, as investigações contam com o apoio de uma empresa especializada em forense digital, que irá avaliar com maiores detalhes o tamanho da violação, que pode ter atingido clientes em diversos países. A Orbitz declarou que:
Estamos trabalhando rapidamente para notificar os clientes e parceiros afetados. Estamos oferecendo aos indivíduos afetados um ano de acompanhamento gratuito de crédito e serviço de proteção de identidade nos países onde estiverem disponíveis. Além disso, estamos oferecendo aos parceiros suporte gratuito aos clientes para informar seus clientes, se necessário.
Praticamente toda a semana temos algum caso grave de vazamento de dados que são comunicados na imprensa, mas com certeza o problema é muito maior, uma vez que nem sempre este tipo de incidente é comunicado publicamente e isso ocorre por uma série de motivos: pouco investimento em segurança, ambientes de tecnologia cada vez mais complexos, equipes de profissionais mal dimensionadas para atenderem o crescente volume de tarefas e em alguns casos, mal capacitadas para lhe darem com requisitos básicos de segurança, além da crescente evolução das ameaças na rede.
Em entrevista, Carl Wrigh, diretor da empresa de defesa cibernética AttackIQ, resume bem o atual cenário da segurança da informação nas organizações:
Uma semana mal passa sem a divulgação de uma violação significativa nos dias de hoje. Em algum momento, os executivos corporativos e o conselho de diretores começarão a perguntar quanto do orçamento de Tecnologia da Informação está sendo alocado para validação e teste de controles de segurança. Se for inferior a 10% do orçamento de segurança, eles poderão ter alguns desafios reais para provar que o programa de segurança é eficaz. É muito mais barato validar continuamente sua segurança usando simulação de ataque do que se recuperar de uma violação.
É interessante notar que o dia da descoberta do incidente (1 de março de 2018) coincide com a data em que a IATA (International Air Transport Association) determinou a todas as agências de viagens associadas, o inicio do cumprimento dos requisitos do padrão PCI DSS, que específica uma série de controles de segurança para proteção dos dados do portador do cartão que são armazenados, processados e/ou transmitidos pela agência.
Os requisitos do padrão PCI DSS envolvem investimentos em ferramentas de tecnologia, formalização de processos relacionadas ao negócio e capacitação das equipes de colaboradores que atuam em atividades que envolvam cartões de pagamento. No Brasil este assunto ainda está em seu estágio inicial, uma vez que muitas agências ainda não se deram contam das suas responsabilidades em relação a proteção dos dados de seus clientes e parceiros, algo que deveria ser tratado com maior prioridade, independentemente da obrigação em atender a resolução da IATA.
Vale lembrar que o movimento do padrão PCI DSS no mercado brasileiro não deverá ficar restrito apenas ao setor de viagens, pois outros segmentos apontam elevados índices de fraudes e provavelmente serão cobrados por alguma associação ou até mesmo pela regulamentação de leis federais, como a Lei de Proteção de Dados Pessoais que tramita na câmara dos deputados há alguns anos. Até lá, iremos nos deparar com muitos outros vazamentos de informações, com consequências negativas para as organizações, mas principalmente para seus clientes.
Fontes consultadas: ZDNet / CNET / Hackeread
Imagens: Orbitz / Iconfinder
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
