A web escura é um mercado que vale centenas de bilhões de dólares. E agora, se você solicitou um cartão de crédito da Capital One e foi uma das 100 milhões de pessoas cujas informações da conta podem ter acabado de ser invadidas, suas informações pessoais podem estar no escuro e ser vendidas por menos do que o preço mensal .
Veja o que sabemos até agora e veja como proteger seus dados após essa violação - e o próximo.
Qual é o Capital One Hack?
A invasão da Capital One foi supostamente perpetrada por Paige Thompson, uma residente de Seattle de 33 anos. Ela está sendo acusada de "fraude e abuso de computadores" e terá uma audiência em 1º de agosto. Os fatos, de acordo com o banco:
- Thompson obteve acesso a 140.000 números do Seguro Social, 1 milhão de números do Seguro Social Canadense e 80.000 números de contas bancárias.
- Ela também teve acesso a um número não revelado de nomes de pessoas, endereços, pontuação de crédito, limites de crédito, saldos e outras informações.
- Thompson digitou fragmentos de dados de transação de um total de 23 dias a partir de 2016-18.
- Os ataques podem ter incluído clientes que solicitaram esses cartões já em 2005.
A vulnerabilidade ao sistema que permitiu a hack ocorrer foi tornada pública em abril, mas foi apenas em julho, após ser alertado por um pesquisador externo, que a Capital One notou e começou a responder.
A Capital One espera que o incidente gere “custos incrementais de aproximadamente US $ 100 a US $ 150 milhões em 2019”, segundo a empresa. "Os custos esperados são em grande parte impulsionados por notificações de clientes, monitoramento de crédito, custos de tecnologia e suporte legal".
Este é o mais recente de uma série aparentemente interminável de hacks, incluindo os hacks do Marriott, o hack Equifax e o hack da Sony, que são em grande parte o resultado de empresas não protegerem adequadamente as informações de cidadãos individuais. Onde essa informação acaba varia, da Rússia à Coreia do Norte a lugares desconhecidos.
O que aconteceu com os dados do Capital One que foram perdidos?
A teia escura é o mundo do submundo do crime, onde os dados são comprados e vendidos por criminosos - incluindo estados-nação - e usados para financiar atividades nefastas. Um estudo de 2019 da Universidade de Surrey indicou que o número de listagens na web escuras que poderiam prejudicar uma empresa aumentou em 20% desde 2016.
Mas a dark web também é um mercado para comprar e vender números de cartão de crédito, armas, credenciais de assinatura roubadas, senhas de contas da Netflix e muito mais. Uma conta premium “vitalícia” da Netflix custa US $ 6, mas você também pode contratar alguém para invadir o computador de alguém. O céu é o limite.
E por enquanto, é seguro assumir que os números roubados de informações pessoais e de seguridade social dos candidatos à Capital One também podem ser encontrados na web escura, pelo menos até que se prove o contrário.
Por que nossa informação foi roubada? Para onde foi?
"Sinto muito pelo que aconteceu", disse Richard Fairbank, CEO da Capital One, em um comunicado à imprensa da Capital One. "Peço sinceras desculpas pela compreensível preocupação que esse incidente deve estar causando às pessoas afetadas e estou comprometido em fazer as coisas certas."
Especialistas em segurança cibernética não estão ouvindo o serviço da boca. “Não aprendemos nada com Equifax?”, Pergunta Bob Sullivan, apresentador do podcast Breach. “A declaração da empresa usa uma linguagem absurdamente distorcida: 'Nenhum número de seguridade social foi comprometido ... além de 140.000 números do Seguro Social'. Quando as empresas aprenderão a ser honestas com as pessoas quando esses incidentes ocorrerem? ”
Aí reside o cerne do problema.
Nossos dados estão sendo roubados, vendidos e comprados com pouca consciência da segurança pública. A questão é tripla: as pessoas devem aprender a se proteger melhor, os governos devem aprender a proteger melhor os cidadãos e as empresas precisam aprender a proteger melhor os dados das pessoas.
Na semana passada, a Comissão Federal de Comércio (FTC) chegou a um acordo com a Equifax para pagar US $ 125 a cidadãos americanos impactados pelo ataque de 2017, totalizando até US $ 425 milhões em restituição. Isso está previsto para custar à Equifax mais de US $ 700 milhões no total. E os ataques cibernéticos custam aos bancos mais do que qualquer outra indústria - até US $ 1 trilhão de dólares por ano e crescendo à medida que a taxa de ataques aumenta rapidamente, de acordo com a Accenture.
Para combater esses ataques, as empresas precisam desenvolver sistemas de segurança que possam sustentar ataques e responder rapidamente a eles. Isso significa usar as tecnologias mais recentes para detectar e evitar possíveis hacks. E isso começa com AI.
“Uma das coisas que estamos vendo é que mais e mais empresas estão usando inteligência artificial para segurança cibernética”, diz Ben Lamm, CEO da Hypergiant. “Temos que colocar os humanos em primeiro lugar e nos certificar de que estamos protegendo sua identificação pessoal. Usar a inteligência artificial para melhorar a segurança das instituições bancárias é um passo natural ”.
Além dos danos punitivos, o governo dos EUA também não está fazendo o suficiente para nos proteger. Enquanto os senadores Elizabeth Warren e Mark Warner têm estado ativos na luta por amplas mudanças legislativas que responsabilizam as empresas pela perda de informações, o Congresso não joga bola. Até agora, pouco foi feito para proteger o público. Se o hack Equifax não fosse suficiente, o capricho da Capital One também não seria.
O que você pode fazer para se proteger?
De acordo com a Capital One, a empresa estará “notificando os indivíduos afetados através de uma variedade de canais” e “disponibilizará monitoramento gratuito de crédito e proteção de identidade a todos os afetados”. Mas isso é suficiente?
Se você acha que foi afetado pelo hack, siga estas estratégias simples:
- Inscreva-se em alertas de texto ou e-mail para rastrear a atividade da conta.
- Monitore seus cartões de crédito para atividades incomuns ou suspeitas.
- Ligue para o número no seu cartão, se você observar algo incomum.
- Relate os e-mails suspeitos de atividade de phishing à equipe de segurança da Capital One: . Não responda a e-mails suspeitos, exclua-os após o encaminhamento para o Capital One e não responda a ligações telefônicas suspeitas.
Quer continuar lutando? Pressione seus congressistas e congressistas para fazer mais para proteger sua privacidade de dados e exigir reparações de empresas que não fazem o suficiente para mantê-lo seguro. Assumir que seus dados já estão perdidos coloca você em uma posição de vitimização desnecessária; a perda de dados não é uma conclusão perdida.
"Como indivíduos, devemos aprender uma lição difícil e ensinar isso aos nossos filhos", diz Amir Orad, CEO da SiSense, "o que você armazenar on-line provavelmente será hackeado um dia, então seja esperto e seletivo sobre isso".
