O que fazer após hackers roubarem dados das empresas?
Algumas importantes etapas ajudam as empresas a não cometer erros e agir rapidamente após problemas do tipo
Outro grande serviço da web perdeu o controle do seu banco de dados. A boa notícia é que esses ataques não precisam provocar pânico total, não importa quão sensíveis os dados roubados possam estar. Normalmente, existem alguns passos muito simples que podem ser feitos para minimizar a exposição à ameaça em potencial:
Etapa 1: determinar o dano
A primeira coisa a descobrir é o que os hackers fizeram. Se eles tiverem seu nome de usuário e senha, por exemplo, não faz sentido alertar a empresa de cartão de crédito.
Notícias e declarações de empresas devem deixar bem claro o que vazou. Foi apenas o endereço de e-mail, ou foram dados de senha também? E quanto aos cartões de crédito (se aplicável) ou dados pessoais, como mensagens privadas?
Etapa 2: Os bandidos podem usar os dados?
Os hackers pegam dados o tempo todo. Contudo, muitas vezes, os dados roubados são inutilizáveis graças a práticas de segurança. Se os dados estiverem na forma de “texto puro”, isso significa nenhuma criptografia foi usada e é tão fácil de ler e manipular quanto um documento do Word ou uma mensagem de email comum.
Dados em hash, por outro lado, são dados que foram embaralhados de tal maneira que não podem decodificá-los de volta para texto simples. O hash é frequentemente usado para bancos de dados de senha, por exemplo.
No entanto, nem todos os métodos de hashing são iguais e às vezes são reversíveis. Como segunda linha de defesa, uma empresa pode adicionar dados aleatórios para dificultar a decodificação. O ponto principal do hashing é que a pessoa precisará investigar um pouco mais para ver se a empresa acredita que os dados são utilizáveis ou não.
Finalmente, a criptografia deve ser um processo de mistura bidirecional que permite que apenas alguém com a “chave” (geralmente um arquivo de senha ou senha) seja capaz de decodificar os dados.
Mesmo se os hackers pegarem dados que estejam em hash ou criptografados, às vezes as empresas aconselharão a alteração de senha, só por segurança.
Etapa 3: alterar senha
Se for necessário alterar a senha, seja proativo. Altere sua senha imediatamente e não espere por um e-mail de aviso ou uma mensagem da empresa, se possível.
Se usou a mesma senha em outros sites, altere-a também. Uma única violação de dados pode facilmente derrubar outras contas.
Etapa 3a: usar um gerenciador de senhas
Agora é um ótimo momento para começar a usar um gerenciador de senhas. Esses programas podem criar senhas novas e difíceis de adivinhar e salvá-las para cada conta on-line. Eles também protegem as senhas com criptografia e (geralmente por uma taxa) as disponibilizam em todos os dispositivos.
Etapa 3b: colocar um bloqueio extra nas contas com 2FA
As senhas não são mais suficientes, por isso também é uma boa ideia ativar a autenticação de dois fatores (2FA) em qualquer uma das contas que a suportem. A autenticação de dois fatores significa que o serviço da Web exigirá um código secundário de seis dígitos antes de permitir o acesso à conta, mesmo com a senha correta.
Por outro lado, a maioria dos serviços exige apenas um código 2FA a cada 30 dias por dispositivo ou, em alguns casos, apenas uma vez em um único navegador a partir de um único dispositivo.
A melhor maneira de usar a autenticação de dois fatores é com um aplicativo ou dispositivo dedicado a gerar esses códigos. Receber códigos SMS não é aconselhável, porque eles são vulneráveis a uma variedade de ataques relativamente triviais.
Etapa 3c: criar um e-mail de recuperação de senha dedicado
Muitos sites permitem que o usuário defina um endereço de e-mail de recuperação específico, separado do e-mail da sua conta principal. Esse é o endereço de e-mail no qual você recebe links para redefinir sua senha depois de clicar no link “Esqueceu a senha?”.
É melhor ter um endereço de e-mail específico que seja apenas para e-mails de recuperação de conta e não esteja conectado à sua identidade. Por exemplo, se o Gmail for o JAndrews, não usar o [email protected]. Se usa seu e-mail comum para recuperação de conta, os hackers podem segmentar esse endereço de e-mail e, se o comprometerem, assumir sua vida on-line.
Etapa 4: entrar em contato com sua operadora de cartão de crédito
Se o número de cartão de crédito foi comprometido, então a pessoa precisa alertar seu banco ou provedor de cartão de crédito. Se foi uma violação particularmente grande, há uma boa chance de o banco já saber disso, mas ainda é uma boa ideia informá-lo.
Informe seu banco ou empresa de cartão de crédito imediatamente para garantir que você não seja responsabilizado por cobranças fraudulentas. Se um número de cartão de débito foi roubado, este passo é duplamente importante. Não apenas porque isso significa que o dinheiro deixará sua conta a cada cobrança incorreta, mas também porque os cartões de débito não têm as mesmas proteções de recuperação dos cartões de crédito.
Etapa 4a: agir com as agências de crédito
É possível receber um alerta de fraude em seu registro de crédito com as três principais agências de crédito: Equifax, Experian e TransUnion. Você também pode dar um passo adiante e colocar um free credit free nos seus registros, o que impede que qualquer pessoa abra uma conta usando seu nome e número do seguro social.
Etapa 5: considerar “burner cards”
Outra boa jogada é usar os cartões de débito de uso limitado que estão conectados à conta bancária real, mas não são os cartões de débito reais. Ou seja, em vez de usar o número real do cartão, a pessoa pode usar cartões com todos os tipos de limites, como um cartão exclusivo da Netflix ou cartões limitados a um máximo de US$ 100.
