Uma falha global, problemas no Facebook e dados roubados: a ciberinsegurança de 2018

Informação de saúde, nomes e moradas, datas de nascimento, e dados de passaporte foram alguns dos dados expostos nos vários ataques informáticos que marcaram 2018.

Foto
Paulo Pimenta

A criminalidade informática continua a tendência para aumentar e 2018 foi disso exemplo: ao longo do ano, foram roubados milhões de credenciais de acesso a vários serviços e empresas, e ciberataques à escala global expuseram dados pessoais de utilizadores de todo o mundo. Em alguns casos foram também comprometidos dados financeiros, noutros, informação diplomática, e houve um, nos EUA, que conseguiu até parar uma cidade.

Os problemas começaram logo na primeira semana de 2018 quando se descobriu que falhas escondidas há décadas nos processadores em todo o mundo podiam levar criminosos a ganhar acesso à memória de computadores e smartphones. Mas os problemas não pararam aqui, e as empresas afectadas por ciberataques incluem o Facebook (que este ano esteve no centro de vários escândalos de privacidade e segurança), as transportadoras aéreas AirCanada e British Airways, a cadeia de hotelaria Marriott e a rede social do Google.

O PÚBLICO recorda alguns destes casos.

Janeiro

Tornaram-se públicas falhas de segurança nos processadores da Intel, da AMD e da ARM. O problema foi descoberto ainda em 2018, altura em que várias empresas – como a Microsoft, Google e Apple – começaram a trabalhar em conjunto para impedir que a falha fosse explorada por criminosos. Como afectava as três grandes fabricantes destes componentes, podia levar ao roubo de informação da maioria dos computadores e telemóveis fabricados nas últimas duas décadas.

A solução chegou sob a forma de “mitigações”: as actualizações não corrigiam os problemas, apenas preveniam que atacantes se aproveitassem deles. Como consequência, alguns aparelhos (especialmente mais antigos) tornaram-se mais lentos.

Também em Janeiro uma outra falha de segurança comprometeu informação pessoal de milhões de cidadãos indianos. O problema afectou a maior base de dados biométricos da Índia, Aadhaar, que reúne impressões digitais, moradas e scans de retina. Parte da informação podia ser encontrada à venda na Internet a partir de sete euros.

Março

Dados pessoais de cerca de 150 milhões de utilizadores da aplicação de dieta e exercício MyFitnessPal tinham sido comprometidos num ciberataque em Fevereiro, mas a empresa só descobriu um mês mais tarde. A informação afectada incluía nomes de utilizador, palavras-passe encriptadas e endereços de email. Embora a informação financeira não tenha sido exposta, todos os utilizadores foram aconselhados a mudar as suas credenciais de acesso.

Ainda em Março, os computadores e servidores das autoridades municipais de Atlanta, nos EUA, foram vítimas de um ataque de ransomware (o nome surge pelos criminosos exigirem um resgate – ransom, em inglês). O caso levou a que várias aplicações usadas pela população, nomeadamente para o pagamento de impostos, estivessem bloqueadas durante dias.

Junho

Descobriu-se que mais de 92 milhões de contas do site MyHeritage foram roubados. O serviço, criado em 2003, permite pesquisar milhões de registos históricos globais de árvores genealógicas e pedir testes de ADN. O problema afecta contas criadas até 26 de Outubro de 2017, data do ataque.

A empresa disse que não havia indicações de que os dados tivessem sido usados por terceiros, e clarificou que dados financeiros dos utilizadores e informação sobre o ADN não são armazenados no site.

Julho

A rede de instituições de saúde SingHealth, uma das maiores em Singapura, foi alvo de um ataque que comprometeu 1,5 milhões de registos de pacientes. Os dados – que incluem informação do primeiro-ministro, Lee Hsien Loong – revelavam nomes de pacientes, documentos de identificação, moradas e datas de nascimento. A empresa esclareceu que informação sobre diagnósticos e resultados de exames não foram afectados.

Agosto

Uma falha de segurança na aplicação móvel da companhia aérea Air Canada expôs informação privada de cerca de 20 mil clientes. Embora o número represente apenas 1% do total de clientes daquela empresa, os dados roubados incluíam informação do passaporte.

Na altura, a companhia clarificou que o risco de alguém obter um passaporte falso em nome de outra pessoa era pequeno porque é preciso mais do que a informação que se encontra num passaporte de alguém para ter acesso a um novo documento. Os utilizadores afectados continuavam a ter o seu cartão de cidadão e passaporte original como prova de cidadania.

Setembro

O nome e a informação de contacto de 29 milhões de utilizadores do Facebook foram expostos num ataque informático que a empresa tornou público no final de Setembro. Para perto de 50% dos afectados, os dados revelados eram mais detalhados e incluíam o local de trabalho, data de nascimento e pesquisas feitas na rede social. Os atacantes foram capazes de explorar a ferramenta “ver como” (que dá a um utilizador a possibilidade de ver o seu próprio perfil como se fosse outra pessoa) e de roubar o equivalente de uma chave digital, que identifica cada utilizador e com a qual era possível aceder às contas. Desde o ataque que a ferramenta não voltou a estar disponível.

PÚBLICO -
Foto
Mark Zuckerberg passou 2018 a tentar explicar problemas de privacidade e segurança Reuters/MICHAEL REYNOLDS

O caso foi um dos muitos problemas de segurança e desinformação que afectaram o Facebook este ano. Foi em Abril, que o Facebook tornou público detalhes do caso da Cambridge Analytica, a empresa britânica de consultoria política que é acusada de ter acedido ilicitamente a informação de milhões de utilizadores em todo o mundo.

Também a British Airways revelou uma falha de segurança em Setembro que afectou milhares dos seus clientes. A empresa explicou que as pessoas que utilizaram um cartão de crédito para fazer reservas entre 21 de Agosto e 5 de Setembro de 2018 podem ter sido afectadas. Mais tarde a empresa descobriu que já tinha sido alvo de outro ciberataque que durou entre 21 de Abril e 28 de Julho de 2018.

PÚBLICO -
Foto
A British Airways revelou uma falha de segurança em Setembro que afectou milhares de clientes PAUL HACKETT

A informação roubada não incluía dados das viagens (por exemplo, destino e origem) nem informação dos passaportes, mas dava acesso a nomes dos passageiros, emails, informação sobre a morada e dados de pagamento.

Outubro

Uma falha de segurança no Google+, a rede social do Google, expôs dados privados de cerca de 500 mil utilizadores aos programadores de centenas de aplicações externas. A vulnerabilidade existia desde 2015 mas só foi detectada pelo Google em Março de 2018. Em comunicado, a equipa do Google diz que não há provas de que a falha tenha sido explorada por criminosos. O caso levou o Google a decidir encerrar o Google+ no Verão de 2019. A data foi antecipada para Abril de 2019 quando uma nova falha de segurança naquela rede social, descoberta em Dezembro, levou a que dados de 52,5 milhões de utilizadores ficassem expostos a programadores de fora do Google. 

PÚBLICO -
Foto
Um problema na rede social do Google expôs dados de cerca de 500 mil utilizadores Reuters/Francois Lenoir

Novembro

Dados pessoais de 500 milhões de clientes da cadeia de hotelaria internacional Marriott podem ter sido expostos a criminosos durante um ciberataque ao sistema de reservas de quartos. Segundo a empresa, os atacantes poderão ter visto informação como o nome, morada, número de telefone e número de passaporte.

O problema foi detectado a 8 de Setembro, mas a investigação revelou que os acessos não autorizados datam de 2014. Em Novembro, a empresa começou a contactar todos os clientes afectados e criou uma página com informações relacionadas com a falha de segurança, incluindo linhas de apoio telefónico em vários países.

PÚBLICO -
Foto
Dados pessoais de 500 milhões de clientes do Marriott podem ter sido expostos depois de um ciberataque Reuters/ANDREW KELLY

Ainda em Novembro, o site de perguntas e respostas Quora foi alvo de um ataque que permitiu que 100 milhões de palavras-passe fossem roubadas. Embora o site utilize palavras-passe encriptadas, a equipa do Quora recomendou que os utilizadores mudassem a palavras-passe. O site, que foi criado em 2009 por dois antigos trabalhadores do Facebook, tornou-se popular por permitir fazer perguntas (de forma anónima ou não) e votar nas respostas dadas.

Dezembro

Milhares de telegramas diplomáticos da União Europeia foram roubados por cibercriminosos com aparentes ligações ao Governo chinês nos últimos anos. A informação surgiu numa investigação do jornal The New York Times, que explica que o ataque foi detectado pela empresa Area 1, fundada por antigos funcionários da Agência de Segurança Nacional norte-americana. O ataque foi pouco sofisticado e resultou de técnicas de phishing, em que são enviados emails falsos para levar um utilizador (neste caso, diplomatas) a fornecer dados confidenciais por engano.

Contactados pelo jornal norte-americano, os responsáveis da União Europeia disseram que as comunicações mais sensíveis estão guardadas numa rede mais segura, e que a protecção das comunicações está a ser reforçada.