Texto de Karla Pequenino

A criminalidade informática continua a tendência para aumentar e 2018 foi disso exemplo: ao longo do ano, foram roubados milhões de credenciais de acesso a vários serviços e empresas, e ciberataques à escala global expuseram dados pessoais de utilizadores de todo o mundo. Em alguns casos foram também comprometidos dados financeiros, noutros, informação diplomática, e houve um, nos EUA, que conseguiu até parar uma cidade.

Os problemas começaram logo na primeira semana de 2018 quando se descobriu que falhas escondidas há décadas nos processadores em todo o mundo podiam levar criminosos a ganhar acesso à memória de computadores e smartphones. Mas os problemas não pararam aqui, e as empresas afetadas por ciberataques incluem o Facebook (que este ano esteve no centro de vários escândalos de privacidade e segurança), as transportadoras aéreas AirCanada e British Airways, a cadeia de hotelaria Marriott e a rede social do Google.

Janeiro

Tornaram-se públicas falhas de segurança nos processadores da Intel, da AMD e da ARM. O problema foi descoberto ainda em 2018, altura em que várias empresas – como a Microsoft, Google e Apple – começaram a trabalhar em conjunto para impedir que a falha fosse explorada por criminosos. Como afetava as três grandes fabricantes destes componentes, podia levar ao roubo de informação da maioria dos computadores e telemóveis fabricados nas últimas duas décadas.

A solução chegou sob a forma de “mitigações”: as atualizações não corrigiam os problemas, apenas preveniam que atacantes se aproveitassem deles. Como consequência, alguns aparelhos (especialmente mais antigos) tornaram-se mais lentos.

Também em janeiro uma outra falha de segurança comprometeu informação pessoal de milhões de cidadãos indianos. O problema afetou a maior base de dados biométricos da Índia, a Aadhaar, que reúne impressões digitais, moradas e scans de retina. Parte da informação podia ser encontrada à venda na Internet a partir de sete euros.

Março

Dados pessoais de cerca de 150 milhões de utilizadores da aplicação de dieta e exercício MyFitnessPal tinham sido comprometidos num ciberataque em fevereiro, mas a empresa só descobriu um mês mais tarde. A informação afetada incluía nomes de utilizador, palavras-passe encriptadas e endereços de email. Embora a informação financeira não tenha sido exposta, todos os utilizadores foram aconselhados a mudar as suas credenciais de acesso.

Ainda em março, os computadores e servidores das autoridades municipais de Atlanta, nos EUA, foram vítimas de um ataque de ransomware (o nome surge pelos criminosos exigirem um resgate – ransom, em inglês). O caso levou a que várias aplicações usadas pela população, nomeadamente para o pagamento de impostos, estivessem bloqueadas durante dias.

Junho

Descobriu-se que mais de 92 milhões de contas do site MyHeretage foram roubados. O serviço, criado em 2003, permite pesquisar milhões de registos históricos globais de árvores genealógicas e pedir testes de ADN. O problema afeta contas criadas até 26 de Outubro de 2017, data do ataque.

A empresa disse que não havia indicações de que os dados tivessem sido usados por terceiros, e clarificou que dados financeiros dos utilizadores e informação sobre o ADN não são armazenados no site.

Julho

A rede de instituições de saúde SingHealth, uma das maiores em Singapura, foi alvo de um ataque que comprometeu 1,5 milhões de registos de pacientes. Os dados – que incluem informação do primeiro-ministro, Lee Hsien Loong – revelavam nomes de pacientes, documentos de identificação, moradas e datas de nascimento. A empresa esclareceu que informação sobre diagnósticos e resultados de exames não foram afetados.

Agosto

Uma falha de segurança na aplicação móvel da companhia aérea Air Canada expôs informação privada de cerca de 20 mil clientes. Embora o número represente apenas 1% do total de clientes daquela empresa, os dados roubados incluíam informação do passaporte.

Na altura, a companhia clarificou que o risco de alguém obter um passaporte falso em nome de outra pessoa era pequeno porque é preciso mais do que a informação que se encontra num passaporte de alguém para ter acesso a um novo documento. Os utilizadores afetados continuavam a ter o seu cartão de cidadão e passaporte original como prova de cidadania.

Setembro

O nome e a informação de contato de 29 milhões de utilizadores do Facebook foram expostos num ataque informático que a empresa tornou público no final de setembro. Para perto de 50% dos afetados, os dados revelados eram mais detalhados e incluíam o local de trabalho, data de nascimento e pesquisas feitas na rede social. Os atacantes foram capazes de explorar a ferramenta “ver como” (que dá a um utilizador a possibilidade de ver o seu próprio perfil como se fosse outra pessoa) e de roubar o equivalente de uma chave digital, que identifica cada utilizador e com a qual era possível aceder às contas. Desde o ataque que a ferramenta não voltou a estar disponível.

O caso foi um dos muitos problemas de segurança e desinformação que afetaram o Facebook este ano. Foi em Abril, que o Facebook tornou público detalhes do caso da Cambridge Analytica, a empresa britânica de consultoria política que é acusada de ter acedido ilicitamente a informação de milhões de utilizadores em todo o mundo.

Também a British Airways revelou uma falha de segurança em setembro que afetou milhares dos seus clientes. A empresa explicou que as pessoas que utilizaram um cartão de crédito para fazer reservas entre 21 de agosto e 5 de setembro de 2018 podem ter sido afetadas. Mais tarde a empresa descobriu que já tinha sido alvo de outro ciberataque que durou entre 21 de Abril e 28 de Julho de 2018.

A informação roubada não incluía dados das viagens (por exemplo, destino e origem) nem informação dos passaportes, mas dava acesso a nomes dos passageiros, emails, informação sobre a morada e dados de pagamento.

Outubro

Uma falha de segurança no Google+, a rede social do Google, xpôs dados privados de cerca de 500 mil utilizadores aos programadores de centenas de aplicações externas. A vulnerabilidade existia desde 2015 mas só foi detectada pelo Google em Março de 2018. Em comunicado, a equipe do Google diz que não há provas de que a falha tenha sido explorada por criminosos. O caso levou o Google a decidir encerrar o Google+ no Verão de 2019. A data foi antecipada para abril de 2019 quando uma nova falha de segurança naquela rede social, descoberta em dezembro, levou a que dados de 52,5 milhões de utilizadores ficassem expostos a programadores de fora do Google. 

Novembro

Dados pessoais de 500 milhões de clientes da cadeia hoteleira internacional Marriott podem ter sido expostos a criminosos durante um ciberataque ao sistema de reservas de quartos. Segundo a empresa, os atacantes poderão ter visto informação como o nome, morada, número de telefone e número de passaporte.

O problema foi detectado a 8 de setembro, mas a investigação revelou que os acessos não autorizados datam de 2014. Em Novembro, a empresa começou a contatar todos os clientes afetados e criou uma página com informações relacionadas com a falha de segurança, incluindo linhas de apoio telefônico em vários países.

Ainda em novembro, o site de perguntas e respostas Quora foi alvo de um ataque que permitiu que 100 milhões de palavras-passe fossem roubadas. Embora o site utilize palavras-passe encriptadas, a equipe do Quora recomendou que os utilizadores mudassem a palavras-passe. O site, que foi criado em 2009 por dois antigos trabalhadores do Facebook, tornou-se popular por permitir fazer perguntas (de forma anónima ou não) e votar nas respostas dadas.

(Karla Pequenino é repórter do Público)