No início deste mês, o mundo foi surpreendido com "toneladas" de dados vazados do escritório de advocacia panamenho Mossack Fonseca. Foram mais de 11,5 milhões de documentos, incluindo e-mails e contratos legais, que somaram 2,6 terabytes de informações.
O vazamento já é tido como um dos maiores da história. Entre as informações divulgadas, estavam 4,8 milhões de e-mails, 2,2 milhões de PDFs, 1,1 milhão de imagens e 320 mil documentos em texto.
Pouco ainda se sabe sobre a origem do ataque ou como o vazamento ocorreu, no entanto, pesquisadores externos sugerem que o Mossack Fonseca não contava com criptografia em seus e-mails. Estima-se também, pelo volume de dados vazados, que não houve contas individuais comprometidas por meio de múltiplas tentativas de senha, mas o servidor inteiro.
Tudo indica que os cibercriminosos tenham adentrado a rede e elevado seus privilégios a administradores de domínio ou administradores de e-mail para ter acesso e baixar informações sigilosas.
Segundo uma pesquisa conduzida pela American Bar Association (ABA), 70% dos escritórios de advocacia dos Estados Unidos não sabem informar se já foram violados. Para muitas empresas, geralmente leva meses até descobrirem que foram violadas – isso se descobrirem. Segundo uma pesquisa da Juniper Research, as violações de dados vão custar US$ 2,1 trilhões até 2019.
O vazamento de dados do escritório panamenho mostra que os dados jurídicos são de extremo valor e podem causar sérios danos para a empresa e seus clientes. No caso do Mossack Fonseca, a violação expôs dados confidenciais importantes de chefes de estado. A situação serve de alerta para organizações que lidam com documentos que tratam da segurança de países, seus governantes e cidadãos.
Em março de 2015, o centro de ciber-inteligência Citigroup já havia previsto que escritórios de advocacia seriam alvo de ataques de governos e hackers por serem repositórios de dados confidenciais de importantes contratos e estratégias de negócios. Além disso, um escândalo desse tipo é devastador para a reputação de escritório de advocacia. A maioria das empresas do ramo não poderia sobreviver a uma violação deste tamanho ou mesmo a uma violação menor.
No caso específico do Mossack Fonseca, além de especialistas terem detectado a ausência de criptografia, tudo indica que os cibercriminosos conseguiram entrar na rede e elevaram seus privilégios para terem acesso aos dados. Uma ferramenta simples de Data Loss Prevention ou um software com a tecnologia de User Behaviour Analytics teriam detectado uma quantidade tão grande de dados sendo movida para fora do ambiente corporativo ou, pelo menos, teriam identificado uma escalação indevida de privilégios.
Escritórios de advocacia que desejam proteger seus arquivos legais e e-mails com informações sensíveis podem começar com três medidas simples: eliminando o acesso global e se livrando das permissões excessivas. Quando dados sensíveis, como informações jurídicas, estão em folders disponíveis para qualquer um, os riscos de haver uma violação de dados é muito alto. É importante que as informações mais valiosas estejam sempre sob vigilância.
Carlos Rodrigues, gerente regional na América Latina da Varonis.