Os 8 maiores vazamentos de dados de 2018

Diversas empresas já tiveram que pagar multas ou fazer acordos devido a violações de dados. A Uber, por exemplo, precisou pagar um valor próximo a US$ 150 milhões em 2016. Dados de saúde fracamente protegidos e com regulamentações pesadas têm custado grandes instalações médicas, fazendo com que o Departamento de Saúde e Serviços Humanos dos EUA colete multas cada vez maiores.

As multas podem ser ainda maiores com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês) em vigor. Os reguladores de dados na UE podem multar mais de 20 milhões de euros e várias empresas de alto perfil já sofreram violações em larga escala desde que os novos regulamentos entraram em vigor.

Confira alguma das empresas:

Uber: US$ 148 milhões

Em 2016, a Uber teve as contas de usuários de 600 mil motoristas e 57 milhões de passageiros violadas. Em vez de relatar o incidente, a empresa pagou ao criminoso US$ 100 mil para manter o hack em segredo. Essas ações, no entanto, custaram caro à empresa. Ela foi multada em US$ 148 milhões – o maior pagamento de violação de dados na história – por violação das leis estaduais de notificação de violação de dados.

Yahoo: US$ 85 milhões

Em 2013, o Yahoo sofreu uma violação de segurança em massa que afetou todo o seu banco de dados, cerca de três bilhões de contas – quase toda a população da web. A empresa, no entanto, não divulgou essa informação por três anos.

Em abril, a Securities and Exchange Commission (SEC) norte-americana multou a empresa em US$ 35 milhões por não divulgar a violação. Em setembro, o novo proprietário do Yahoo admitiu que havia resolvido uma ação coletiva resultante da quebra de US$ 50 milhões.

Uma soma total de US$ 85 milhões para um total de três bilhões de contas equivale a cerca de US$ 36 por registro. Considerando que o custo médio por registro de uma violação de dados é de cerca de US$ 148 e a IBM colocou o custo de quebra de sigilo em centenas de milhões de dólares, a empresa pode ter sido relativamente poupada.

Tesco Bank: US$ 21 milhões

O Tesco Bank, braço de banco de varejo da rede de supermercados do Reino Unido, foi multado em 16,4 milhões de libras (US$ 21,2 milhões) pela Financial Conduct Authority (FCA) do Reino Unido, depois que pouco mais de US$ 3 milhões foram roubados de nove mil contas de clientes em 2016. A FCA acusou o Tesco de “deficiências” no design de seus cartões de débito, controles de crimes financeiros e sua equipe de operação de crimes financeiros.

Anthem: US$ 16 milhões

A seguradora de saúde norte-americana Anthem sofreu uma violação em 2015 que afetou 79 milhões de pessoas. A violação incluía nomes, aniversários, números da Previdência Social e identificações médicas. Em outubro, a empresa foi multada em US$ 16 milhões pelas violações do Departamento de Saúde e Serviços Humanos dos Estados Unidos pela HIPAA (Health Insurance Portability and Accountability Act). Essa multa foi além dos US$ 115 milhões que a empresa teve que pagar em 2017 para resolver uma ação coletiva relacionada à violação.

University of Texas MD Anderson Cancer Center: US$ 4,3 milhões

Em junho, um juiz confirmou a decisão de multar a University of Texas MD Anderson Cancer Center em US$ 4,3 milhões por violações do HIPAA. O centro de câncer sofreu três violações de dados entre 2012 e 2013: um caso de roubo de um laptop não criptografado da residência de um funcionário e dois USB não criptografados foram perdidos. As informações de saúde de mais de 33.500 pessoas foram perdidas.

Fresenius Medical Care North America: US$ 3,5 milhões

Em fevereiro, a Fresenius Medical Care North America (FMCNA) recebeu US$ 4,3 milhões por conta de cinco infrações em diferentes locais da empresa entre fevereiro e julho de 2012. Uma investigação do Escritório de Direitos Civis concluiu que a FMCNA não havia “conduzido uma análise precisa e completa dos riscos potenciais e vulnerabilidades à confidencialidade, integridade e disponibilidade de todas as informações de saúde que estava armazenando em suas diferentes entidades”.

Essas falhas incluem não impedir o acesso não autorizado a instalações e equipamentos, não criptografar dados de saúde, não governar a remoção de mídia eletrônica que armazena dados de saúde e não ter procedimentos de incidentes de segurança.

Equifax e Facebook: US$ 650.000

A Equifax e o Facebook podem se considerar sortudos. O Escritório do Comissário de Informações do Reino Unido multou as duas empresas por falhas nos dados sob a Lei de Proteção de Dados pré-GDPR, na qual a multa mais alta possível é de apenas £ 500.000 (aproximadamente US$ 650.000). Sob GDPR, as penalidades poderiam ter sido muito maiores. Em outubro, o Facebook recebeu a multa sobre o escândalo de dados da Cambridge Analytica, enquanto a Equifax recebeu a multa máxima em setembro pela violação de 2017, que permitiu o vazamento de dados de 147 milhões de clientes.

Possíveis próximas penalidades

A British Airways se deparar com uma ação judicial de £ 500.000 milhões (US$ 650.000) após os detalhes do cartão de pagamento de 380 mil clientes terem sido retirados de seu site e aplicativo.

A cadeia de supermercados britânica Morrisons está enfrentando um grande pagamento para seus funcionários, depois que a informações de 100 mil colaboradores em folha de pagamento vazaram online por um auditor de TI descontente em 2014. Em outubro, a empresa perdeu um recurso contra uma ação coletiva de mais de 5 mil funcionários, mas planeja apelar para a Suprema Corte. O caso é a primeira ação do grupo de vazamento de dados do Reino Unido e poderia estabelecer um precedente sobre a responsabilidade da empresa sobre as ações dos funcionários.

Agora que o GDPR entrou em vigor, as empresas que sofrem violações de dados estão enfrentando repercussões financeiras potencialmente enormes. A recente falha “View As” do Facebook, o aplicativo de conferência pouco seguro do UK Conservative Party, o recente fechamento da rede social Plus do Google e o vazamento de 5,9 milhões de registros de clientes da Dixons Carphone podem estar sujeitos a penalidades. Em setembro, a AggregateIQ (AIQ), empresa de análise do Canadá, tornou-se a primeira empresa a receber um aviso GDPR, possivelmente abrindo caminho para uma multa no futuro.