As nove brechas mais caras em serviços financeiros

Brechas de dados não são brincadeira. Pergunte a qualquer diretor financeiro. Além de gerar notícias ruins, causar agitação nos clientes e dores de cabeça regulatórias associadas às brechas de dados, o custo monetário pode ser crescer rapidamente. Até os casos da Mastercard e Visa, os mais comentados casos de brecha de dados ocorreram longe da indústria de serviços financeiros, com a Sony, Michael?s Stores e RSA (que custou a EMC quase US$ 66 milhões) ocupando as principais manchetes dos jornais.

Apesar do foco em outras indústrias, serviços financeiros continuam sendo o principal alvo para brechas de dados causa por hacks, clonagem de cartão, roubo interno de dados e perda de dispositivos portáteis contendo informações sigilosas ou financeiras.

E dos detalhes sobre os vazamentos de dados são espantosos, ou engenhosos, dependendo do ponto de vista. Aqui estão 9 dos mais recentes casos de brechas de dados em serviços financeiros:

Fidelity National Information Services (FIS)
Tipo: Hack
Custo: US$ 1.3 milhão

Depois de hackear a rede do FIS e conseguir acesso ao banco de dados da empresa, um grupo criminoso obteve 22 cartões ATM legítimos. Cópias desses cartões foram feitas e enviadas para Grécia, Rússia, Espanha, Suíça, Ucrânia e Reino Unido, de acordo com o PrivateRights.org. Os criminosos alteraram os cartões para que fossem usados para sacar quantias ilimitadas de dinheiro. No total, US$ 1.3 milhão foi sacado em 24 horas, entre a noite de sábado, 5 de março e domingo, 6 de março de 2011. O roubo pode ser um dos mais complexos e intrincados hacks a banco de todos os tempos, envolvendo diversos criminosos em seis países. Parece coisa de filme, exceto pelo fato de se tratar de cibercrime envolvendo caixas eletrônicos mundanos.

Fontes de Informação:
Privacyrights.org
KrebsonSecurity

Mastercard e Visa
Tipo: Hack
Custo: desconhecido

Em 30 de março, Brian Krebs, responsável pelo site KrebsonSecurity.com, publicou que a Mastercard e a Visa avisaram aos bancos sobre uma brecha em um processador que poderia envolver 10 milhões de cartões comprometidos. De acordo com Krebs, o aviso dizia: ?Dados completos das Track 1 e Track 2 foram roubados ? o que significa que a informação pode ser usada para a falsificação de cartões?.

O The Wall Street Journal relatou que a Global Payments Inc., que processa as transações dos cartões no comércio, foi atingida pela brecha. A Global Payments disse que apenas 1.5 milhão de contas foram comprometidas.

De acordo com o site KrebsonSecurity.com, a Visa anunciou, recentemente, em um comunicado que ?a Visa Inc. está ciente de um possível incidente de comprometimento de dados em uma entidade terceirizada, atingindo informações de contas de cartão de grandes marcas. Não houve qualquer tipo de brecha nos sistemas da Visa, incluindo a rede de processamento central. VisaNet.?

Fonte de Informação:
KrebsonSecurity.com

Bank of America
Tipo: Roubo interno
Custo US$ 10 milhões

Um funcionário do Bank of America vazou informações de clientes a membros de uma gangue de roubo de identidade. Nomes de clientes, números de identificação, carteira de motorista e contas bancárias, PINs, extratos bancários, datas de nascimento, endereços e telefones foram vazados. Mais de US$ 10 milhões foram roubados. E mesmo que o Bank of America tenha descoberto a brecha em 2010, esperou até que 95 suspeitos fossem presos para divulgar o ocorrido. O grupo criminoso usou as informações para modificar contas bancárias e esconder contas fraudulentas que criaram usando os nomes das vítimas. O Bank of America foi criticado por não ter a tecnologia ou os procedimentos que poderiam ter detectado as perdas por um longo período.

Fonte de Informação:
Privacyrights.org

Citibank
Tipo: Hack
Custo: US$ 2.7 milhões

Em 2011, hackers acessaram as informações de aproximadamente 1% dos 21 milhões de clientes do Citibank, ou quase 360.000 clientes. Nomes, números de contas e informações de contato foram expostos. Números de identidade, códigos de segurança e datas de nascimento não foram expostos, de acordo com a empresa. A brecha ocorreu em maio de 2011.

Segundo o site PrivacyRights.org, os hackers conseguiram as informações ao acessar o site de cartão de crédito dos clientes e acertando o número da conta de cada cliente. Como o número da conta aparecia na barra de endereço do navegador, a simples alteração em um número permitia que os hackers acessassem uma conta diferente. Os criminosos também utilizaram um programa de computação automática que adivinhava números de contas com rapidez. Pelo menos US$ 2.7 milhões foram roubados de 3.400 clientes até julho de 2011. Em diversas publicações, o Citibank foi criticado pela lenta reação ao ataque e por demorar a comunicar os clientes.

Fonte de Informação:
Privacyrights.org
Citigroup.com

NasdaqTipo: Hack
Custo: desconhecido

Nem todas as brechas almejam enormes quantidades de dados de clientes. Vale lembrar que hackers vazaram informações do Directors Desk, um sistema baseado em nuvem criado para facilitar a comunicação entre 10.000 executivos seniores e diretores de empresas. Monitorando o Directors Desk, os criminosos tiveram acesso a informações internas, o que poderiam ter vendido a competidores ou até usado para negociações na bolsa de valores. Após o ataque, investigadores federais criticaram a segurança da Nasdaq, alegando que os computadores rodavam software desatualizado e que alguns firewalls estavam mal configurados.

Fonte de Informação:
Wall Street & Technology

JP Morgan Chase, Citibank
Tipo: Roubo de identidade
Custo: US$ 330.000

Em janeiro de 2011, o JP Morgan Chase e o Citibank divulgaram que uma residente de State Island, NY, de alguma forma havia obtido informações pessoais de clientes dos bancos JP Morgan Chase e Citibank, de acordo com o site PrivacyRights.org. A mulher usou as informações para roubar mais de US$ 300.000 do Chase e US$ 30.000 do Citibank. Essa mulher visitou bancos em Manhattan e nos arredores entre 26 de novembro de 2007 e 29 de abril de 2010. Ela usava cartas de motorista falsas para fazer saques fraudulentos.

Fonte de Informação:
Privacyrights.org

Valley National Bank
Tipo: Clonagem de cartão
Custo: US$ 278.144

O búlgaro Viktor Kafalov se assumiu culpado por conspiração em fraude bancária e roubo de identidade. Ele admitiu instalar skimmers e câmeras nos caixas eletrônicos do banco Valley National, em Nutley e Belleville, Nova Jersey, em setembro de 2008. Ele usou, então, as informações de conta e identificação para falsificar cartões de saque.

Kafalov e seus comparsas acessaram aproximadamente 348 contas e roubaram US$ 278.144 do Valley National. De acordo com as notícias, o esquema fez saques em contas de várias regiões de Nova York, como Brooklyn, Queens, Manhattan, Long Island e foi além, chegando a Mississauga, Ontário, Canadá.

Fonte de Informação:
Privacyrights.org
Newjerseynewsroom.com

Banco PNC
Tipo: Clonagem de cartão
Custo: US$ 208.000

Entre abril e maio de 2010, dois homens colocaram skimmers nos caixas eletrônicos do banco PNC em Harmar e Waterworks Plaza, na Pensilvânia, de acordo com a promotoria de Western Pennsylvania. Os dois homens foram presos em abril de 2011 e são acusados de conspiração, fraude de acesso a dispositivo e tentativa de cometer fraude de acesso a dispositivo. Um dos homens morava em Pompano Beach, Flórida e a outro homem, em Astoria, Nova York.

Registros legais revelam que os dois homens instalaram equipamentos eletrônicos de clonagem em diversos caixas eletrônicos do banco PNC na área de Western Pennsylvania. Os equipamentos ilegais permitiam que os criminosos registrassem informações bancárias de clientes contidas na fita magnética de cartões de crédito ou débito usados no caixa eletrônico.

Cartões de crédito e débito fraudulentos foram falsificados com essas informações e aproximadamente US$ 208.000 foram roubados de, pelo menos, 211 contas.

Fonte de Informação:
justice.gov
Privacyrights.org

Banco Chase
Tipo: Clonagem de cartão
Custo: US$ 200.000

Um homem, na Califórnia, Daniel Axinte, foi acusado de utilizar dispositivos de clonagem de cartão para roubar mais US$ 200.000 de contas do banco Chase, de acordo com notícias. Ele foi processado por roubo de identidade, roubo, fabricação de identidades falsas e danos que excedem US$ 200.000. Ele foi pego quando investigadores do banco descobriram que alguém estava instalando dispositivos de clonagem no leitor de cartão da porta de acesso aos caixas eletrônicos do banco todo sábado, após o fechamento. O dispositivo era então removido na segunda-feira pela manhã. Isso aconteceu por, pelo menos, seis semanas consecutivas. Câmeras escondidas também foram usadas para registrar senhas de clientes nos caixas eletrônicos. Agentes conseguiram prender o homem quando ele voltou para retirar o dispositivo.

Fonte de Informação:
U-T San Diego
Privacyrights.org