Las violaciones de datos pueden ser extremadamente dañino para las organizaciones de todas las formas y tamaños, pero es la forma en que estas empresas reaccionan ante el incidente lo que puede asestar el golpe final. Si bien hemos visto algunos ejemplos excelentes de cómo las empresas deberían responda a las filtraciones de datos durante el año pasado (felicitaciones a la Cruz Roja y a Amnistía por su transparencia), 2022 ha sido una lección de un año sobre cómo no responder a una filtraciones de datos.
Aquí hay una mirada retrospectiva a las violaciones de datos mal manejadas de este año:
nvidia
El gigante fabricante de chips Nvidia confirmó que estaba investigando un llamado “incidente cibernético” en febrero, que luego confirmó que fue un evento de extorsión de datos. La compañía se negó a decir mucho más sobre el incidente y, cuando TechCrunch la presionó, se negó a decir cómo se comprometió, qué datos se robaron o cuántos clientes o empleados se vieron afectados.
Mientras Nvidia se mantuvo callada, la pandilla Lapsus$, ahora notoria, rápidamente asumió la responsabilidad de la violación y afirmó que robó un terabyte de información, incluidos datos “altamente confidenciales” y código fuente patentado. Según el sitio web de monitoreo de violación de datos Have I Been Pwned, los piratas informáticos robaron las credenciales de más de 71,000 empleados de Nvidia, incluidas las direcciones de correo electrónico y los hash de contraseñas de Windows.
Tablero de la puerta
En agosto, DoorDash se acercó a TechCrunch con una oferta para informar exclusivamente sobre una violación de datos que expuso los datos personales de los clientes de DoorDash. No solo es inusual recibir noticias de una infracción no revelada antes de que se anuncie, sino que fue aún más extraño que la empresa se negara a responder a casi todas las preguntas sobre las noticias que quería que divulgáramos.
El gigante de la entrega de alimentos confirmó a TechCrunch que los atacantes accedieron a los nombres, direcciones de correo electrónico, direcciones de entrega y números de teléfono de los clientes de DoorDash, junto con información parcial de la tarjeta de pago para un subconjunto más pequeño de usuarios. También confirmó que para los conductores de entrega de DoorDash, o Dashers, los piratas informáticos accedieron a datos que “incluían principalmente el nombre y el número de teléfono o la dirección de correo electrónico”.
Pero DoorDash se negó a decirle a TechCrunch cuántos usuarios se vieron afectados por el incidente, o incluso cuántos usuarios tiene actualmente. DoorDash también dijo que la violación fue causada por un proveedor externo, pero se negó a nombrar al proveedor cuando TechCrunch le preguntó, ni dijo cuándo descubrió que estaba comprometido.
Samsung
Horas antes de un largo feriado del 4 de julio, Samsung lanzó silenciosamente un avisomi que sus sistemas de EE. UU. fueron violados semanas antes y que los piratas informáticos habían robado la información personal de los clientesnorte. En su aviso de violación barebones, Samsung confirmó que también se tomaron datos “demográficos” no especificados, que probablemente incluían datos de geolocalización precisos de los clientes, navegación y otros datos de dispositivos de los teléfonos Samsung y televisores inteligentes de los clientes.
Ahora, a fin de año, Samsung aún no ha dicho nada más sobre su pirateo. En lugar de usar el tiempo para redactar una publicación de blog que diga cuáles, o incluso cuántos clientes se ven afectados, Samsung usó las semanas previas a su divulgación para redactar y publicar una nueva política de privacidad obligatoria el mismo día de su divulgación de incumplimiento.milo que permite a Samsung utilizar la geolocalización precisa de los clientes para publicidad y marketing.
Porque esa era la prioridad de Samsung, obviamente.
revolución
La startup Fintech Revolut confirmó en septiembre que fue golpeada por un “ataque cibernético altamente dirigido” y le dijo a TechCrunch en ese momento que un “tercero no autorizado” había obtenido acceso a los detalles de un pequeño porcentaje (0.16%) de los clientes “por un corto período de tiempo.”
Sin embargo, Revolut no dijo exactamente cuántos clientes se vieron afectados. Su sitio web dice que la empresa tiene aproximadamente 20 millones de clientes; 0,16% se traduciría en unos 32.000 clientes. Sin embargo, según la divulgación de incumplimiento de Revolut, la empresa dice que 50 150 clientes se vieron afectados por el incumplimiento, incluidos 20 687 clientes en el Espacio Económico Europeo y 379 ciudadanos lituanos.
La compañía también se negó a decir a qué tipo de datos se accedió. En un mensaje enviado a los clientes afectados, la compañía dijo que “no se accedió a los detalles de la tarjeta, PIN o contraseñas”. Sin embargo, la divulgación de la violación de datos de Revolut establece que los piratas informáticos probablemente accedieron a datos parciales de pago con tarjeta, junto con los nombres, direcciones, direcciones de correo electrónico y números de teléfono de los clientes.
Proveedor del NHS Avanzado
Advanced, un proveedor de servicios de TI para el NHS del Reino Unido, confirmó en octubre que los atacantes robaron datos de sus sistemas durante un ataque de ransomware en agosto. El incidente derribó varios de los servicios de la organización, incluido su sistema de gestión de pacientes Adastra, que ayuda a los encargados de llamadas que no son de emergencia a enviar ambulancias y ayuda a los médicos a acceder a los registros de los pacientes, y Carenotes, que utilizan los fideicomisos de salud mental para obtener información de los pacientes.
Si bien Advanced compartió con TechCrunch que sus respondedores de incidentes, Microsoft y Mandiant, habían identificado LockBit 3.0 como el malware utilizado en el ataque, la compañía se negó a decir si se había accedido a los datos del paciente. La compañía admitió que “algunos datos” pertenecientes a más de una docena de fideicomisos del NHS fueron “copiados y exfiltrados”, pero se negó a decir cuántos pacientes se vieron potencialmente afectados o qué tipos de datos fueron robados.
Advanced dijo que “no hay evidencia” que sugiera que los datos en cuestión existen en otro lugar fuera de nuestro control y que “la probabilidad de daño a las personas es baja”. Cuando TechCrunch lo contactó, el director de operaciones de Advanced, Simon Short, se negó a decir si los datos del paciente se ven afectados o si Advanced tiene los medios técnicos, como registros, para detectar si los datos fueron filtrados.
Twilio
En octubre, el gigante estadounidense de mensajería Twilio confirmó que se vio afectado por una segunda violación en la que los ciberdelincuentes accedieron a la información de contacto del cliente. La noticia de la violación, que fue llevada a cabo por los mismos piratas informáticos “0ktapus” que comprometieron a Twilio en agosto, quedó oculta en una actualización de un extenso informe de incidentes y contenía pocos detalles sobre la naturaleza de la violación y el impacto en los clientes.
La portavoz de Twilio, Laurelle Remzi, se negó a confirmar la cantidad de clientes afectados por la infracción de junio o compartir una copia del aviso que la empresa afirma haber enviado a los afectados. Remzi también se negó a decir por qué Twilio tardó cuatro meses en revelar públicamente el incidente.
espacio en rack
El gigante de la computación en la nube empresarial Rackspace fue golpeado por un ataque de ransomware el 2 de diciembre, lo que dejó a miles de clientes en todo el mundo sin acceso a sus datos, incluidos el correo electrónico archivado, los contactos y los elementos del calendario. Rackspace recibió críticas generalizadas por su respuesta por decir poco sobre el incidente o sus esfuerzos para restaurar los datos.
En una de las primeras actualizaciones de la compañía, publicada el 6 de diciembre, Rackspace dijo que aún no había determinado “qué datos, si es que hubo alguno, se vieron afectados”, y agregó que si la información confidencial se veía afectada, “notificaría a los clientes según corresponda”. Ahora estamos a fines de diciembre y los clientes no saben si su información confidencial fue robada.
Ultimo pase
Y finalmente, pero no menos importante: el asediado gigante del administrador de contraseñas LastPass confirmó tres días antes de Navidad que los piratas informáticos habían robado las llaves de su reino.metro y exfiltró las bóvedas de contraseñas encriptadas de los clientes semanas antes. La brecha es tan dañina como lo es para los 33 millones de clientes que usan LastPass, cuyas bóvedas de contraseñas encriptadas son tan seguras como las contraseñas maestras de los clientes que se usan para bloquearlas.
Pero el manejo de la brecha por parte de LastPass provocó una rápida reprimenda y feroces críticas de la comunidad de seguridad, sobre todo porque LastPass dijo que no había ninguna acción que los clientes pudieran tomar.mi. Sin embargo, según una lectura analizada de su notificación de violación de datosmiLastPass sabía que las bóvedas de contraseñas encriptadas de los clientes podrían haber sido robadas ya en noviembre después de que la empresa confirmara que se accedió a su almacenamiento en la nube utilizando un conjunto de claves de almacenamiento en la nube de los empleados robadas durante una violación anterior en agosto, pero que la empresa no había revocado.
La falla y la culpa son directamente de LastPass por su incumplimiento, pero su manejo fue notoriamente malo. ¿Sobrevivirá la empresa? Quizás. Pero en su manejo atroz de su violación de datos, LastPass ha sellado su reputación.
