4 maneiras reais de vazar os dados da sua empresa

Algumas histórias sobre como é fácil acidentalmente vazar informações sensíveis para o público.

Se você postar fotos de ingressos para shows no Instagram sem ocultar o código de barras, alguém poderá ver sua banda favorita no seu lugar. O mesmo pode acontecer mesmo se você ocultar o código de barras, mas com a ferramenta errada.

Por isso, lembrar de esconder corretamente o código de barras dos seus ingressos, antes de sair por aí se gabando, não é uma tarefa difícil. Por outro lado, quando você posta uma foto online sem perceber um tíquete ou, digamos, um lembrete com senhas acidentalmente no quadro, é uma situação totalmente diferente. Aqui estão vários casos em que as pessoas publicam dados confidenciais online sem perceber.

Postar fotos com uma senha ao fundo

Fotos e vídeos tirados em escritórios e outras instalações revelam senhas e segredos com muito mais frequência do que você imagina. Ao tirar fotos de colegas, poucas pessoas prestam atenção no cenário ao fundo, e o resultado pode ser embaraçoso – ou até perigoso.

(Falta de) Inteligência Militar

Em 2012, a Força Aérea Real Britânica vacilou, e muito. Juntamente com uma reportagem fotográfica sobre o príncipe William, que estava servindo em uma unidade da RAF, os detalhes de login do MilFLIP (publicações de informações sobre voos militares, em tradução livre) foram divulgados. Um nome de usuário e senha em um pedaço de papel decoravam a parede atrás do duque de Cambridge.

Credenciais de login do MilFLIP utilizadas como decoração

Credenciais de login do MilFLIP utilizadas como decoração. Fonte

Logo após sua publicação no site oficial da família real, as imagens foram substituídas por versões retocadas e as credenciais vazadas foram alteradas. Se elas foram fixadas na parede novamente, ninguém sabe.

O incidente do príncipe William não foi o único. Militares menos conhecidos também compartilham segredos online, com e sem a ajuda da imprensa. Por exemplo, um policial publicou uma selfie em uma rede social em um cenário de monitores que mostravam informações secretas. O soldado foi retirado discretamente para “reeducação e treinamento”.

Vazamento ao vivo

Em 2015, a empresa de televisão francesa TV5Monde foi vítima de um ciberataque. Indivíduos não identificados invadiram e desfiguraram o site da organização e a página do Facebook e interromperam a transmissão por várias horas.

Eventos posteriores transformaram a história em uma farsa. Um funcionário da TV5Monde deu uma entrevista a repórteres sobre o ataque – em um cenário com as senhas dos perfis de mídias sociais da empresa. Nas imagens, o texto é difícil de ler, mas entusiastas conseguiram obter a senha da conta do TV5Monde no YouTube.

Coincidentemente, também foi uma lição de como não criar uma senha: a frase secreta em questão acabou sendo “lemotdepassedeyoutube”, que, traduzido do francês, é literalmente “youtubepassword”, ou “senhadoyoutube”. Felizmente, o YouTube e outras contas da empresa escaparam ilesas. No entanto, essa história permite algumas reflexões sobre o ciberataque inicial.

Empregado da TV5Monde concede uma entrevista com um cenário de senhas ao fundo.

Empregado da TV5Monde concede uma entrevista com um cenário de senhas ao fundo. Fonte

Um incidente semelhante ocorreu pouco antes do Super Bowl XLVIII, em 2014, quando as credenciais de login internas de WiFi do estádio foram registradas pelas lentes de um operador de câmera de TV. Para piorar, as imagens vieram do centro de comando responsável pela segurança do evento.

Credenciais de login de Wi-Fi mostradas na tela no centro de controle do estádio

Credenciais de login de Wi-Fi mostradas na tela no centro de controle do estádio. Fonte

 

2. Usar rastreadores fitness

Os dispositivos que você usa para monitorar sua saúde podem muito bem permitir que outra pessoa monitore você e até mesmo extraia dados confidenciais, como um código PIN do cartão de crédito, com os movimentos de suas mãos. É verdade que o último exemplo é um pouco surreal.

Mas vazamentos de dados sobre a localização de instalações secretas são, infelizmente, perfeitamente reais. Por exemplo, o aplicativo fitness Strava, com uma base de usuários de mais de 10 milhões, marca as rotas de corrida dos usuários em um mapa público. Ele também revelou bases militares.

Embora o aplicativo possa ser configurado para ocultar rotas de olhares indiscretos, parece que nem todos os usuários de uniforme são versados ​​em tais aspectos técnicos.

Movimentação de soldados na base militar dos Estados Unidos no Afeganistão mostrada pelo mapa de calor do Strava

Movimentação de soldados na base militar dos Estados Unidos no Afeganistão mostrada pelo mapa de calor do Strava. Fonte

Citando a ameaça de novos vazamentos, em 2018 o Pentágono simplesmente proibiu os soldados americanos em missão de usar rastreadores fitness. Claro, para quem não passa o dia nas bases militares dos EUA, essa solução pode ser um exagero. Mesmo assim, recomendamos reservar um tempo para definir as configurações de privacidade no seu aplicativo de condicionamento físico.

3. Transmissão de metadados

É muito fácil esquecer (ou não saber) que os segredos às vezes podem estar ocultos em informações sobre arquivos ou metadados. Em particular, as fotografias geralmente contêm as coordenadas do local onde foram tiradas.

Em 2007, soldados dos EUA (parece haver um padrão em desenvolvimento aqui) publicaram fotos online de helicópteros chegando a uma base no Iraque. Os metadados das imagens continham as coordenadas exatas do local. Segundo uma versão dos eventos, as informações foram usadas posteriormente em um ataque inimigo que custou aos Estados Unidos quatro helicópteros.

4. Compartilhamentos excessivos em mídias sociais

Você pode aprender alguns segredos simplesmente olhando para os amigos de uma pessoa. Por exemplo, se vendedores de uma região específica começarem a aparecer repentinamente na lista de amigos de um gerente de empresa, os concorrentes poderão concluir que a organização está procurando novos mercados e se antecipando à concorrência.

Em 2011, a jornalista Sharon Machlis, da Computerworld, realizou um experimento para recolher informações do LinkedIn. Em apenas 20 minutos de pesquisa no site, ela descobriu o número de moderadores dos fóruns online da Apple, a configuração da infraestrutura de RH da empresa e muito mais.

Como a autora admite, ela não encontrou nada parecido com um segredo comercial, mas a Apple se orgulha de levar a privacidade mais a sério do que a maioria das empresas. Enquanto isso, com base nas tarefas de um vice-presidente da HP, novamente listado no LinkedIn, qualquer um poderia descobrir em quais serviços de nuvem a empresa estava trabalhando.

Como evitar descuidos nos vazamentos de dados

Os funcionários podem compartilhar acidentalmente muita coisa sobre sua empresa. Para evitar que seus segredos se tornem de conhecimento público, defina regras estritas para publicar informações online e informe todos os seus colegas:

  • Ao tirar fotos e vídeos para postar nas mídias sociais, certifique-se de que não entre nada indevido na imagem. A mesma coisa se aplica quando alguém fotografa ou filma você ou seu escritório. Os jornalistas não se importam, mas você pode se complicar se suas senhas caírem pela Internet. Faça registros em locais especialmente designados para esse fim. Se não houver esse local, verifique pelo menos as paredes e a mesa com antecedência.
  • Lembre-se também do que os outros podem ver atrás de você durante as videochamadas e teleconferências, mesmo se você estiver conversando com colegas ou parceiros.
  • Oculte contatos pessoais e comerciais confidenciais nas redes sociais. Lembre-se de que concorrentes, golpistas e vilões em geral podem usá-los contra você.
  • Antes de postar um arquivo, exclua seus metadados. Em um computador Windows, você pode fazer isso nas propriedades do arquivo; nos smartphones, existem aplicativos especiais para isso. Seus leitores não precisam saber onde uma foto foi tirada ou em qual computador um documento foi criado.
  • Considere, antes de se gabar, se os sucessos do trabalho podem ser segredos comerciais. No mínimo não é aconselhável destacar seus triunfos nos mínimos detalhes.

Os funcionários devem entender claramente quais informações são confidenciais e saber como lidar com elas. Nossa plataforma automatizada de conscientização de segurança possui um curso dedicado a esse tópico.

Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.