Empresa de gestão de crédito sofre grande vazamento de dados

A Equifax, uma das maiores empresas de gestão de crédito do mundo, sediada no EUA e com operações em 15 países, incluindo o Brasil, onde se fundiu com a Boa Vista Serviços, acaba de anunciar publicamente que dados de cerca de 143 milhões de consumidores foram afetados por consequência de um ataque cibernético que ocorreu aproximadamente entre os meses de maio e julho deste ano.

De acordo com a empresa, o vazamento contém dados como nomes, datas de nascimento, endereços, números do Seguro Social e em alguns casos números de licenças de motoristas. Porém, no vazamento também constam dados de cartões de crédito de cerca de mais de 200 mil consumidores americanos. Informações de consumidores residentes no Canadá e no Reino Unido também estão entre os dados vazados. Ainda segundo a empresa, não há evidências de que dados de clientes de outros países tenham sido afetados.

Para se ter uma ideia, o número de pessoas afetadas pelo vazamento representa praticamente metade da população dos EUA, de acordo com seu último censo.

A reportagem do site Forbes indica que uma vulnerabilidade em um servidor web da Equifax foi explorada por hackers e que não tiveram tanta dificuldade para obter esse grande volume da dados sensíveis. E este não é o primeiro incidente da empresa, pois no inicio deste ano, a TALX Equifax, uma empresa do grupo responsável por soluções para folhas de pagamento também foi alvo de ataques cibernéticos. Além disso, outras empresas do setor de crédito também demonstraram fragilidades em ataques de hackers, como foi o caso da gigante americana Experian, que foi invadida em 2015, expondo dados de mais de 15 milhões de americanos. A empresa também opera aqui no Brasil opera com a marca Serasa Experian.

Diferente do que ocorre no Brasil, lá fora as organizações que tratam e armazenam dados pessoais de usuários são obrigadas a notificarem as autoridades quando sofrem algum tipo de violação em seus sistemas e dependendo dos resultados das investigações, a empresa vítima responde legalmente pelas consequências dos ataques. Em nosso país, além de não existir uma punição objetiva contra empresas que não cumprem requisitos essenciais de segurança para armazenar dados pessoais de seus clientes, sequer temos uma regulamentação que obrigue a divulgação de incidentes similares, ou seja, não é surpresa que ataques similares a este já esteja ocorrendo em muitas organizações e pode ser que algumas nem se deram conta ainda.

Impactos financeiros imediatos

Assim que a Equifax divulgou publicamente o grave incidente, houve uma queda acentuada no valor das suas ações na bolsa, conforme podemos observar no gráfico que acompanha o índice de cotação:

Isso apenas comprova a importância que os gestores devem dar aos seus departamentos de TI, de forma que permitam ter condições adequadas para mitigarem os riscos de vazamento de informações sensíveis ao negócio ou mesmo interrupções que possam afetar a disponibilidade dos recursos essenciais às operações da organização.

 

Fontes consultadas: Forbes / Equifax / NYSE

Imagens/Vídeos: Pixabay / NYSE

Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec