Mais comentada

O que podemos aprender com as grandes violações de dados?

Ao considerar todas as falhas de dados a que somos expostos, os riscos e possibilidades de passar por isso têm se tornado cada vez maiores

Seth Ruden, Administradores.com,
iStock

Não há como ignorar: nossa segurança financeira está diariamente comprometida. Sem dúvida, ao ler isso, muitos de vocês começaram a contar todas as vezes que isso já aconteceu em seu dia a dia – sejam em violações comerciais, como clonagem de cartão de crédito, ou em roubo de dados pessoais, que exigiram proteções extras e, talvez, até bloqueio de acesso a crédito ou outros tipos de danos.

E estas são apenas as violações que chegam ao nosso conhecimento. Ao considerar todas as falhas de dados a que somos expostos, os riscos e possibilidades de passar por isso têm se tornado cada vez maiores. No início de 2014, comentei que estávamos cansados das violações de dados. Hoje, acredito que estamos mais perto da completa exaustão e os consumidores têm se sentido impotentes.

Deveríamos nos perguntar como consumidores: o que exatamente foi comprometido? Que informação caiu no bolso dos infratores e como eles podem usá-la para me atacar? Quando nossos dados são comprometidos uma, duas ou várias vezes, estamos em maior risco? Quão vulneráveis estamos quando colocamos dados e detalhes pessoais nas mãos de hackers e fraudadores?

Normalmente, os consumidores se preocupam mais com os dados demográficos, que podem ser hackeados e usados no momento de autenticações, como no caso de abertura de uma conta ilegítima para pagamento de despesas não autorizadas ou para criar contas bancárias falsas. Precisamos ter consciência de que sempre existe um risco, mesmo que nós, como prestadores de serviços, não percebamos o impacto dele. Então o que podemos aprender com isso?

Autenticadores-zumbi são um presente para hackers

Bom, para começar, por que ainda usamos a autenticação baseada em dados estáticos emitidos por terceiros? Documentos pessoais, número de identidade, endereços domiciliares e a data de nascimento dos usuários são autenticadores-zumbi à disposição de hackers – muito mais do que as senhas em si! Estes dados, que deveriam ser sigilosos, estão disponíveis por meio de fontes públicas ou pesquisáveis... ainda em 2018.

Os hackers também têm bancos de dados para armazenar essas informações. Qualquer pessoa com acesso a um dark site pode pesquisar dados para ver se existe uma data de aniversário, número de identidade ou endereço residencial do alvo desejado. Na verdade, já existe um nome para essa situação: "Credential Stuffing”, ou seja, o ato de interceptar e usar o máximo de elementos de autenticação possíveis para tentar acessar e tomar o controle de uma conta.

Biometria e outras medidas de autenticação devem ser adotadas

Quando pedem dados para me autenticar dá até aflição. Prefiro fazer negócios com uma entidade com um processo de autenticação mais rígido e algo muito mais esperto e sofisticado para validar que eu sou, de fato, eu. Agora temos, inclusive, a biometria – e o cliente pode usá-la por meio de um dispositivo móvel.

Existem, também, a autenticação por perguntas dinâmicas (cujas respostas são conhecidas apenas pelo provedor de serviços e cliente) e a autenticação multifator, capaz de reunirdois ou mais tipos de validação diferentes. Isso pode ser usado para tornar a experiência muito mais eficaz e reduzir o potencial de risco. Eu me sentiria mais seguro vivendo neste mundo de violações, se soubesse que minha instituição financeira me autenticou de diferentes modos? Isso seria mais ágil e eficaz do que as autenticações atuais, com inúmeras perguntas durante o contato com o usuário? Sim, é claro!

Sei que ninguém quer receber uma carta de sua instituição financeira ou procurar por si mesmo em uma página de segurança para determinar se está exposto ao risco após uma grande falha ter sido revelada. Mas, infelizmente, essa é uma realidade. Deixar de usar dados estáticos e passar a utilizar autenticações dinâmicas deve ser considerada a grande lição dessas violações.

Seth RudenGerente de riscos de pagamento da ACI Worldwide