Bom Dia LGPD

Proteger é Complexo: Aprendizados importantes no caso Ticketmaster (nada novo...)

Fernando Nery
Fernando Nery
Sócio da Módulo

Ontem nosso artigo tratou do caso ticketmaster que ganhou o noticiário mundial destacando o grande volume de dados pessoais vazados de - potencialmente - 560 mil pessoas.


O primeiro dia de divulgação deste caso que estava sendo tratado desde 20 de maio trazem alguns aprendizados:


  • Mercado de Capitais e Transparência- Boa parte das comunicações de incidentes de segurança aparecem devido à comunicação junto aos reguladores do mercado de capitais (CVM no Brasil e SEC nos EUA por exemplo. A controladora da TicketmasterLive Nation Entertainment, Inc.comunicou o ocorrido à SEC (link no comentário);
  • Velocidade do Procon- No mesmo dia que a notícia surgiu, o Procon-SP notificou a Ticketmaster para saber se consumidores brasileiros tiveram seus dados pessoais divulgados. Quando se trata com dados pessoais de consumidores, deve incluir o relacionamento com o Procon em sua conformidade com a LGPD pois a instituição costuma ser mais rápida que outros reguladores; (link no comentário)
  • Phishing- As primeiras avaliações informam que a senha que deu origem ao vazamento foi obtida a partir de uma campanha de phishing lançada pelo grupo de cibercriminosos ShinyHunters; (link no comentário)
  • 2FA e MFA- Estima-se que acesso que foi comprometido para chegar aos dados não utilizava duplo ou múltiplos fatores de autenticação, o que facilitou o acesso remoto; (link no comentário)
  • Transferência Internacional- A base de dados comprometida é global e autoridades de cibersegurança, proteção de dados, defesa do consumidor e de direitos fundamentais de vários países estão se informando sobre os efeitos do incidente;
  • Agentes de tratamento- As primeiras informações e pronunciamentos destacam que a falha envolveu o fornecedor Snowflake, sem definir responsabilidades de cada lado; (link no comentário)
  • PCI DSS- As informações iniciais são que não há números completos de cartões, mas fragmentos deles, não encontrei notícias sobre o tema;
  • Site fake- Lendo o Reclame aqui, há muita reclamação sobre sites que se fazem passar pela ticketmaster, o que é comum principalmente em eventos que há muita disputa de ingressos.

Os assuntos não são novos e as organizações devem estar muito atentas. Mesmo um gigante global do comércio eletrônico, que adota medidas sofisticadas, pode ser vítima de ataques igualmente sofisticados e que exploram os detalhes. Proteger um ambiente é complexo e detalhado.


Obrigado,


Aquele abraço,


FNery.

____________________________________________________________________________________


Como podemos ajudar:


  • Gestão da Continuidade do Negócio;
  • Campanhas de conscientização e engajamento;
  • Gestão de Riscos em Segurança da Informação e Cibernética;
  • Certificação PCI DSS;
  • Programa de Governança em Privacidade;
  • Gestão de Incidentes.


(Art 46 .. 49) Segurança da Informação Phishing
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato