PII de muitos executivos da Fortune 1000 expostos em sites de corretores de dados

Uma pesquisa divulgada na segunda-feira por um provedor de serviços de segurança cibernética revela quão amplos são os riscos para executivos e organizações que eles utilizam de corretores de dados que coletam dados confidenciais sobre eles.

O provedor, BlackCloak , publicou em um blog os resultados de uma análise de 750 de seus clientes, a maioria deles executivos e membros do conselho da Fortune 1000 ou outras grandes instituições. Entre as descobertas da empresa:

  • 99% de nossos executivos têm suas informações pessoais disponíveis em mais de três dúzias de sites de corretores de dados online, com uma grande porcentagem listada em mais de 100;
  • 70% dos perfis de executivos encontrados em sites de corretores de dados continham informações pessoais de mídia social e fotos, mais comumente do LinkedIn e do Facebook;
  • 95% dos perfis de executivos continham informações pessoais e confidenciais sobre sua família, parentes e vizinhos;
  • Em média, os corretores de dados online mantinham mais de três endereços de e-mail pessoais para cada registro executivo.

“Embora a manutenção de dados em três endereços de e-mail pessoais possa não parecer tão significativo para os novatos, o acesso a qualquer endereço de e-mail pessoal aumenta os riscos de acesso não autorizado, fraude e falsificação de identidade, entre outras ameaças digitais”, escreveu o diretor de marketing da BlackCloak, Evan Goldberg .

Casa como barriga mole

A pesquisa também descobriu que 40% dos corretores de dados online tinham o endereço IP da rede doméstica de um executivo. “Você não apenas pode usar as informações de endereço mantidas pelo corretor para ir fisicamente à casa de um executivo, mas também pode usar o endereço IP para invadir digitalmente sua casa de qualquer lugar do mundo”, observou o fundador e CEO da BlackCloak, Chris Pierson.

“Vemos executivos corporativos visados ​​o tempo todo em suas vidas pessoais”, disse ele ao TechNewsWorld. “Se você está mirando no CEO da GE, você vai hackeá-lo em seu endereço de e-mail da GE, onde ele é protegido por cibersegurança corporativa, ou você vai atacá-lo em sua conta do Gmail ou na conta de sua esposa ou nas contas de seus filhos? , e conseguir um ponto de apoio em sua casa?”

“Como todo mundo está trabalhando em casa nos últimos dois anos, isso criou o lar como o ponto fraco da corporação”, disse ele.

“As informações do corretor de dados foram aproveitadas para cometer roubo de identidade e fraude de desemprego nos últimos dois anos”, acrescentou.

Alguns dos riscos citados pelo BlackCloak são exagerados, sustentou Daniel Castro, vice-presidente da Information Technology & Innovation Foundation , uma organização de pesquisa e políticas públicas em Washington, DC

“Os corretores de dados geralmente vendem dados que já são públicos, como informações sobre registros de votação ou contribuições de campanha”, disse ele ao TechNewsWorld.

“Da mesma forma”, continuou ele, “informações publicamente acessíveis em redes sociais ou em sites não são particularmente sensíveis”.

No entanto, ele reconheceu que os cibercriminosos podem usar essas informações para perpetrar ataques de phishing e se passar por um executivo.

HCL deixou senhas de funcionários e outros dados confidenciais expostos | IT Forum

Perigo para Top Brass

“A realidade é que os corretores de dados apresentam terreno fértil para hackers, abusadores e perseguidores”, observou Liz Miller, vice-presidente e analista principal da Constellation Research , uma empresa de consultoria e pesquisa tecnológica em Cupertino, Califórnia.

“Onde mais você poderia pagar US $ 29 por um dossiê completo sobre uma ex-namorada, incluindo endereço e número de telefone atuais, associados atuais que residem no mesmo local e detalhes básicos sobre essa pessoa?” ela disse ao TechNewsWorld. “Quando você realmente pensa sobre o que esses dados intensamente sensíveis podem significar nas mãos de alguém sem bússola moral ou ética, isso deve aterrorizar as pessoas.”

Os corretores de dados têm apenas uma razão de ser, observou Greg Sterling, cofundador da Near Media , um site de notícias, comentários e análises. “Sua razão de ser é coletar o máximo de dados possível sobre o maior número possível de famílias e pessoas”, disse ele ao TechNewsWorld.

“Por definição, então, eles expõem e transferem informações que os indivíduos podem não querer que sejam expostas ou vendidas, ou que podem ser vendidas de forma não consensual ou sem o conhecimento dos indivíduos envolvidos.”

Armen Najarian, diretor de identidade da Outseer , fornecedora de soluções de proteção contra fraudes de pagamento em Bedford, Massachusetts, afirmou que os corretores de dados apresentam riscos significativos para os executivos. “Na era digital, dados são poder”, disse ele ao TechNewsWorld. “É perigoso para qualquer empresa ter perfis tão detalhados de profissionais de negócios altamente influentes.”

“Muitas vezes, esses perfis incluem informações altamente pessoais, como renda e ativos, que são usados ​​por cibercriminosos para atacar e roubar a identidade de uma vítima”, continuou ele.

“Ao estudar o comportamento online desses executivos, os fraudadores têm uma visão íntima do que está acontecendo na vida desses indivíduos, facilitando a implantação de ataques altamente direcionados”, acrescentou.

Anonimato não tão anônimo

Alguns corretores e aplicativos de dados justificam seu apetite voraz por dados alegando que compartilham apenas informações anônimas, uma afirmação contestada pela Electronic Frontier Foundation em um artigo de julho de 2021 em seu site escrito por Gennie Gebhart e Bennett Cyphers.

“Os corretores de dados vendem perfis ricos com informações mais do que suficientes para vincular dados confidenciais a pessoas reais, mesmo que os corretores não incluam um nome legal”, escreveram eles. “Em particular, não existem dados de localização ‘anônimos’. Pontos de dados como a casa ou o local de trabalho são identificadores em si, e um observador malicioso pode conectar movimentos a esses e outros destinos.”

“Outra peça do quebra-cabeça é o ID do anúncio, outro rótulo chamado ‘anônimo’ que identifica um dispositivo”, acrescentaram. “Os aplicativos compartilham IDs de anúncios com terceiros, e todo um setor de empresas de ‘resolução de identidade’ pode vincular prontamente IDs de anúncios a pessoas reais em escala.”

Embora os governos em algumas outras regiões do mundo tenham adotado uma linha mais dura em relação aos corretores de dados, esse não foi o caso nos EUA. “É uma área em que as leis nos Estados Unidos não são tão robustas quanto poderiam ser”, Pierson disse. “Com o tempo, houve várias propostas legais diferentes, mas não houve restrições significativas sobre o que os corretores de dados podem fazer nos Estados Unidos.”

“A melhor maneira de regular os corretores de dados seria criar uma lei federal de privacidade de dados que estabeleça direitos básicos de dados do consumidor, especialmente para dados pessoais confidenciais”, aconselhou Castro. “A lei federal é a melhor maneira de garantir que os americanos tenham controle de suas informações e evita criar uma complicada colcha de retalhos de leis de estado por estado.”

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *