O que os CSOs podem aprender do vazamento de dados do Yahoo

No final de setembro, o Yahoo confirmou o vazamento de mais de 500 milhões de dados de usuários em 2014 – sim, a empresa levou dois anos para informar o público –seus usuários, aliás- da falha de segurança. O roubo de dados incluiu nomes de usuários, endereços de email, números de telefone, datas de nascimento e senhas criptografadas, mas nenhum dado de cartão de crédito.

Assim como outros episódios anteriores – o Linkedin foi roubado em 2012, e o MySpace, em 2013, apenas anos depois o público tomou conhecimento do problema. Quando dados pessoais são roubados, uma resposta rápida é importante. Os clientes precisam mudar suas senhas, e tomar outras ações para proteger sua identidade, incluindo controlar senhas e registros financeiros. Se as pessoas não sabem que ocorreu uma falha de segurança, elas estarão vulneráveis. Então por que as empresas demoram tanto em revelar essas informações? Essa resposta não é tão simples assim.

O tempo é um fator chave

Ainda não está claro quando o Yahoo soube desse ataque. Algumas notícias dão conta de declarações da empresa sobre o assunto terem ocorrido em 1º de agosto, quando um porta-voz declarou ter conhecimento da comercilização de 200 contas do Yahoo no mercado negro.

Mas, mais de um mês depois, a empresa preencheu documentos de orgãos financeiros reguladores dos Estados Unidos, informando que desconhecia qualquer informação sobre acesso não autorizado, que poderia impactar sua venda à Verizon. E a Verizon, em contrapartida, disse publicamente ter ouvido sobre a falha de segurança dois dias antes de o Yahoo ter dito isso formalmente.

Detecção e confirmação

O Yahoo afirma que o ataque teve origem o governo de um país, mas não revela qual. Isso pode sugerir que o ataque tenha sido mais sofisticado e, portanto, mais difícil de ser detectado – mas é impossível de afirmar isso com exatidão, já que a empresa se negou a dar outros detalhes.

Além disso, qualquer um na internet pode dizer o que quiser – as empresas precisam investigar seus sistemas para entender quando e onde alguém que está dizendo ser o responsável pelo ataque realmente o fez.

Outra razão para que isso possa ter demorado tanto é o fato de que houve diversas mudanças no time de liderança da empresa. Acima de tudo, o Yahoo estava completamente voltado à ideia de encontrar um comprador potencial.

Informação pública

Uma vez que uma empresa saiba ter sido hackeada, é importante dizer aos consumidores –e ao público –  para que as pessoas possam tomar as medidas necessárias para proteger sua informação, privacidade e identidade.

No Brasil, por exemplo, não há legislação específica que obrigue as empresas a declarar publicamente qualquer roubo de informação digital. Quantos ataques a bancos já tivemos notícia? Isso não significa que eles não estão acontecendo.

É possível recuperar a reputação?

As empresas de tecnologia tipicamente podem se recuperar rapidamente de qualquer vazamento de dados – isso quando reagem rapidamente à falha. Isso é verdadeiro até com casos mais graves, como o da Target em 2013.

Processos judiciais que vieram após esses problemas deixaram uma lição clara: quanto mais cedo divulgar publicamente o problema, melhor. Se o Yahoo soube do problema só em agosto, ou há anos, e levou todo esse tempo para falar alguma coisa, é difícil a empresa sair sem a imagem de traidora do seu próprio público.

Ainda que seus usuários modem suas senhas após a publicação da informação, milhares de usuários se manifestaram nas mídias sociais. O resultado disso tudo é, entre outras coisas, que a Verizon baixou o preço de compra da gigante de tecnologia. Ou seja, ainda que seja difícil proteger-se dos hackers, cabe apenas à empresa como lidar com os danos depois.