
Vazamento de dados em mídias sociais: Como evitar?
Uma coisa é certa: se uma empresa quer engajar seus clientes e estreitar o relacionamento com eles, ter um perfil nas mídias sociais é um dos primeiros passos.
Aliás, são poucas as organizações que se arriscam a viver fora desse mundo digital nos dias de hoje. No entanto, em tempos em que tantas instituições são invadidas e têm seus dados vazados, todo cuidado é pouco. Afinal, se até o CEO do Twitter teve a própria conta hackeada, o que dizer de quem as usam sem a menor precaução, não é mesmo?
Entre tantas maneiras de invadir uma rede social, duas se destacam. A primeira diz respeito ao uso de credenciais vazadas (login e senha) para acessar contas oficiais. Existem bilhões delas divulgadas diariamente e nelas podem ter autorizações a redes sociais de empresas ou mesmo de funcionários com possibilidade de acesso a esses sites. Outra prática comum é via SIMSwap, a mesma usada em agosto para invadir a conta de Jack Dorsey (CEO do Twitter). Ela funciona por um “desvio” do SMS ou chamada utilizados na autenticação de dois fatores, permitindo que o cibercriminoso tenha acesso ao código de validação.
Não é comum as organizações compartilharem informações críticas nesses canais, mas como muitas usam o chat disponível para interagir com os clientes (ou até mesmo solicitar dados), existe um risco desse conteúdo ser exposto. É por isso que o profissional responsável por gerir esses canais tenha boas práticas de proteção de senhas e esteja sempre alerta.
Dicas para incrementar a segurança
Importante destacar que não é necessário fazer nenhum treinamento técnico específico com quem for operar as mídias sociais de uma empresa. No entanto, é fundamental que ele saiba como utilizar um gerenciador de senhas, como o LastPass ou OnePassword. Usar a autenticação de dois fatores (2FA) e criá-las com caracteres especiais, para aumentar a complexidade e diminuir as chances de que o hash (forma de criptografia) seja decifrado, também ajuda muito.
Além disso, é válido deixar todos os colaboradores conscientes do papel de cada um na proteção dos dados. Por exemplo, é importante que ninguém use o e-mail corporativo em sistemas externos, muito menos que repitam a senha da empresa em outros sites (isso evita a prática do credential stuffing, ação de testar uma credencial vazada em outros canais).
Normalmente os ataques contra redes sociais são realizados por ações fora do perímetro – ou seja, dificilmente um controle tecnológico interno conseguiria impedir a invasão, já que ele passa “por baixo do radar” das empresas em termos de monitoramento. A recomendação é que as organizações monitorem o seu footprint digital, identificando casos fora do seu ambiente e dados de sua propriedade em lugares onde não deveriam estar.
Foi invadido?
O primeiro passo é mudar a senha vazada e recuperar a conta da rede social novamente. Em seguida, avise os possíveis clientes que tiveram suas informações expostas e comunique as autoridades competentes. No processo de remediação, é indispensável que todos os canais em que esses vazamentos ocorreram, ou venham a acontecer, sejam monitorados. Assim, quanto maior for a proatividade, menores os riscos e os danos para a sua empresa e seus clientes.
Para saber se a sua empresa já teve credenciais vazadas, acesse o minhasenha.com, uma base com mais de 9 bilhões de dados.
Agora, caso queira ter atuação pró-ativa com a monitoração de riscos digitais, clique aqui para saber mais como a AuditSafe poderá ajudar. Nossa plataforma e serviços de monitoramento da presença digital das empresas na Internet possuem capacidade de identificar o uso indevido da marca, fraude ou estelionato nos canais digitais de sua empresa.
Ainda tem dúvidas? Quer saber mais? Entre em contato conosco.