Análise de aviso de violação de dados da Samsung

muitas horas atrás No fim de semana nos EUA, a gigante da eletrônica Samsung anunciou que seus sistemas americanos foram invadidos há um mês por hackers maliciosos, que invadiram e roubaram grandes quantidades de informações pessoais sobre um número não especificado de seus clientes.

A violação de dados provavelmente será significativa. A Samsung é uma das maiores empresas de tecnologia com centenas de milhões de proprietários de dispositivos – e usuários – em todo o mundo. Mas o aviso de violação de dados mal explicado da Samsung, juntamente com seu atraso injustificado em revelar a violação de dados, deixou os clientes lendo folhas de chá sem uma ideia clara do que, se houver, eles poderiam fazer para se proteger.

TechCrunch e . são codificados Aviso de violação de dados da Samsung suspenso 🖍️ Com nossa análise do que isso significa – e o que a Samsung deixou para trás.

Os porta-vozes da Samsung, por meio da empresa de comunicação de crise Edelman, se recusaram a responder às perguntas que enviamos antes da publicação, citando a “natureza contínua de nossa coordenação com a aplicação da lei”.

O que a Samsung disse em seu aviso de violação de dados

Samsung sabe que o incidente de segurança é uma violação de dados

Nem todos os incidentes de segurança são criados iguais. Hackers maliciosos nem sempre roubam dados; Depende de como os sistemas e redes da empresa estão configurados e do alcance dos hackers. Neste caso, a Samsung sabe disso Os dados foram “obtidos” 🖍️ – ou vazou – por hackers.

Lembre-se de que esta é apenas a detecção inicial da violação. A Samsung oferece o mínimo que a empresa tem a lhe dizer. O fato de que os hackers obtiveram acesso às informações pessoais dos clientes mostra que a Samsung não protegeu esses dados como deveria ou os hackers têm acesso tão profundo à rede Samsung que obtiveram acesso aos dados dos clientes e outros arquivos supostamente altamente confidenciais. . Esta também é a segunda violação de dados conhecida da Samsung este ano, depois que a equipe de hackers Lapsus$ roubou o código-fonte e outros documentos internos confidenciais dos sistemas da empresa em março, embora as informações do cliente não tenham sido obtidas.

Informações pessoais do cliente roubadas

Samsung Diz no aviso de violação de dados 🖍️ Que os hackers “em alguns casos” pegaram nomes de clientes, informações de contato, informações demográficas, data de nascimento e informações de registro de produtos. Isso sugere que nem todos os clientes da Samsung são afetados, mas também pode significar que a Samsung ainda não sabe quantos dados foram roubados em sua violação de dados.

Nomes e datas de nascimento são informações pessoais. Não está claro quais outros dados foram roubados, mas as pistas estão na política de privacidade.

A Samsung disse anteriormente ao TechCrunch que os clientes fornecem informações quando registram seus dispositivos para acessar “serviço, suporte, informações de garantia, atualizações de software e ofertas exclusivas para comprar futuros produtos Samsung”. Esses dados incluem o modelo do produto Samsung, a data de compra e um identificador exclusivo do dispositivo, como o número IMEI de telefones e identificadores de publicidade ou números de série para outros dispositivos, como smart TVs.

Identificadores exclusivos são projetados para serem alias para que, em caso de violação de dados, essas sequências aleatórias de letras e números sejam de pouca utilidade. Mas os identificadores exclusivos não são completamente anônimos e podem ser combinados com outros dados para publicidade direcionada, para identificar usuários ou rastrear a atividade online de alguém.

Os dados demográficos incluem dados precisos de geolocalização

A notificação de violação de dados da Samsung inclui uma vaga referência a “informações demográficas” roubadas por hackers. Samsung diz que recolhe Esta informação demográfica não identificável 🖍️ “Para ajudar a fornecer a melhor experiência possível com nossos produtos e serviços” – ou outra maneira de dizer publicidade direcionada.

A Política de Privacidade da Samsung nos EUA explica isso com mais clareza. “As redes de anúncios nos permitem direcionar nossas mensagens aos usuários considerando dados demográficos, interesses inferidos dos usuários e contexto de navegação. Essas redes podem rastrear as atividades online dos usuários ao longo do tempo coletando informações por meios automatizados, inclusive por meio do uso de navegador e cookies da web Sinais, pixels, identificadores de dispositivos, logs do servidor e outras tecnologias semelhantes.”

A Samsung se recusou a dizer ao TechCrunch quais dados específicos as “informações demográficas” continham, mas há mais pistas na política de privacidade separada da empresa para o anúncio, que vincula em um aviso de violação de dados e explica o que as informações demográficas incluem.

A lista é longa e você deve reservar um tempo para lê-la atentamente. A versão curta é que a Samsung coleta informações técnicas sobre seu telefone ou outro dispositivo, como você usa seu dispositivo, como os aplicativos que você instalou e os sites que você visita, como você interage com anúncios e quais anunciantes e corretores de dados usam para inferir isso . informações sobre você. Os dados também podem incluir “dados de geolocalização precisos”, que podem ser usados ​​para determinar para onde você está indo e as pessoas que conhece. A Samsung diz que coleta informações sobre o que você assiste em TVs inteligentes, incluindo os canais e programas que você assistiu.

A Samsung também diz que “pode ​​obter dados comportamentais e demográficos de fontes de dados externas confiáveis”, o que significa que a Samsung compra dados de outras empresas e os combina com suas próprias lojas de informações de clientes para saber mais sobre você, novamente para publicidade direcionada. A Samsung não dirá de quais empresas, como corretoras de dados, estão obtendo esses dados.

Mas esses mesmos dados nas mãos de maus atores podem revelar muito sobre uma pessoa e seus hábitos online.

Por que a Samsung não menciona nada disso no aviso de violação de dados? Embora os dados possam não ser pessoalmente identificáveis, ainda são de natureza pessoal porque estão relacionados aos nossos gostos, preferências e nossa atividade no mundo real, e é por isso que os detalhes minuciosos do que empresas como a Samsung coletam sobre você são frequentemente enterrados. em políticas de privacidade que não são pessoalmente identificáveis. Ninguém lê (e somos todos culpados por isso).

A Samsung se recusou a dizer se os dados obtidos de terceiros foram comprometidos na violação, mas não contestou nossas descrições quando os porta-vozes foram acessados ​​antes da publicação.

O que a Samsung não diz em seu aviso de violação de dados

Samsung não vai dizer quantos clientes são afetados

A Samsung se recusou a informar ao TechCrunch quantos clientes foram afetados por esse hack. A Samsung pode não saber, o que é improvável porque já enviou um e-mail para clientes que acredita terem sido afetados. ou, O que é provável 🖍️é que o número de clientes afetados é tão grande que a Samsung não quer que você saiba porque a empresa pode achar isso embaraçoso.

A Samsung tem centenas de milhões de usuários, mas raramente revela quantos clientes possui. Mesmo 1% dos clientes afetados pode chegar a milhões ou dezenas de milhões de usuários afetados.

Não está claro por que os números do Seguro Social são mencionados

Aviso de violação de dados claramente percebe 🖍️ A violação “não afetou os números da Previdência Social ou os números dos cartões de crédito e débito”. Aparentemente reconfortante, mas o texto não é claro. O TechCrunch perguntou à Samsung se coleta e armazena os números do Seguro Social e que esses dados não foram afetados, mas a empresa se recusou a dizer – apenas que o problema “não afetou” os números do Seguro Social. A Samsung coleta os números do Seguro Social como parte de suas opções de financiamento e como condição dos usuários do Samsung Money.

Por que demorou um mês para notificar os clientes?

olhe para mim Horário de violação 🖍️A Samsung diz que hackers roubaram os dados no “final de julho de 2022”, que uma leitura generosa poderia interpretar como qualquer ponto após meados de julho. A Samsung pode revelar a data – se souber. Também vale a pena notar que esta é a data em que a Samsung diz que os dados foram retirados de sua rede e isso não inclui o tempo que os hackers gastaram nos sistemas Samsung antes de serem finalmente descobertos. O roubo de dados foi descoberto em 4 de agosto, o que significa que a Samsung não sabia há semanas que os dados dos clientes haviam sido roubados.

Quanto à divulgação da violação um mês depois, apenas algumas horas antes do fechamento dos negócios em uma sexta-feira antes de um fim de semana prolongado? Bem, isso é apenas mau PR.

Samsung atualizou sua política de privacidade quando revelou uma violação

No mesmo dia em que anunciou a violação de dados, a Samsung também impulsionou uma nova política de privacidade para seus usuários. Graças a um leitor que alertou o TechCrunch, a nova política agora afirma explicitamente que a Samsung pode usar a “geolocalização precisa” de um cliente para marketing e publicidade com o consentimento do usuário. A nova política agora também define por quanto tempo a Samsung armazena dados que os usuários compartilham do recurso Quick Share. A Samsung diz que pode “recolher o conteúdo que você compartilha, que permanecerá disponível por 3 dias”.

O TechCrunch perguntou à Samsung como define o que define como consentimento do usuário, mas o porta-voz não disse. A Samsung não disse por que estava promovendo uma nova política de privacidade, mas afirmou que a atualização “não tem nada a ver” com o incidente e foi planejada com antecedência.

Se você sabe mais sobre uma violação de dados da Samsung ou trabalha para a Samsung, pode entrar em contato com este autor via Signal em +1 646.755.8849 ou via SecureDrop.

Leave a Comment

Your email address will not be published.