Home  >  Segurança

Um ano depois, cinco lições do caso TJX

A companhia americana de varejo sobreviveu ao roubo massivo de dados, mas a indústria de cartões continua sob suspeita. Veja as lições que ficaram para os CSOs.

Computerworld

21/01/2008 às 10h10

Foto:

Exatamente um ano atrás, a TJX Companies foi vítima da maior falha de segurança envolvendo dados de cartões de crédito e débito. Os problemas começaram em meados de 2005, quando as intrusões começaram em duas de suas lojas em Miami, por meio de redes LAN sem fio pobremente protegidas. Os intrusos que invadiram os sistemas de pagamento da TJX permaneceram incólumes por 18 meses, tempo durante o qual baixaram 80 GB de dados de cartões.

Na época, a TJX divulgou que cerca de 45 milhões de números de cartões pertencentes a usuários de diversos países foram roubados de seus sistemas. Este número pode ser ainda maior: um grupo de bancos que utilizava os serviços da companhia divulgou em outubro que informações de cerca de 94 milhões de cartões ficaram expostas durante a série de intrusões.

A quantidade de informações roubadas colocou a TJX por conta própria no rol de empresas que passaram por este tipo de incidente e a transformou em referência negativa sobre práticas de segurança de dados. Além disso, o roubo trouxe à tona diversas questões familiares, e outras nem tanto. Abaixo, cinco lições para os gerentes de segurança:

1) Quebras de segurança não afetam vendas ou o valor das ações...
Mesmo tendo sido o maior e mais divulgado roubo de dados da história, clientes e investidores mantiveram sua confiança na TJX. Na época em que o roubo foi descoberto, a ação da companhia valia 30 dólares e hoje está cotada a 29 dólares. Ao mesmo tempo, a companhia divulgou que no período de 48 semanas encerrado no dia 05 de janeiro, suas vendas subiram 4%.

2)...mas podem ser caras
A TJX informou que nos doze meses posteriores à descoberta do roubo, gastou cerca de 250 milhões de dólares. O montante inclui os custos associados à solução das falhas que permitiram as invasões, assim como às ações legais decorrentes do roubo. Por enquanto, algumas das vantagens oferecidas pela TJX incluem serviços de monitoramento de crédito gratuito, reembolso de dinheiro extra e três dias ao ano, durante os quais os clientes podem fazer compras com 15% de descontos.

Outros destaques do COMPUTERWORLD:

>Leilão de 3G arrecada R$ 5,33 bi, com ágio médio de 86,6%
>Nextel nega ter entrado no leilão de 3G para elevar o ágio
>Migração da Vivo para 3G pode elevar arrecadação para R$ 6 bi
>Surpresa com ágios, Claro investe R$ 1,4 bi no leilão de 3G
>Anatel prevê R$ 10 bi de investimento em 3G até 2010

3) Padrões ainda estão em construção

Alguns documentos apresentados pelos bancos durante a investigação da TJX mostraram que a companhia não estava em conformidade com nove destes controles durante o período em que as intrusões ocorreram. E a TJX não está sozinha. Em resposta à baixa adoção dos controles PCI, a Visa começou a cobrar taxas extras por transação de empresas que, a partir de setembro do ano passado, não estivessem em conformidade.

4) O processo de pagamento por cartão tem problemas
O problema vivido pela TJX expôs uma disputa entre bancos e operadoras de cartões de crédito, de um lado, e grandes lojas, de outro. Em muitos Estados, cooperativas de crédito e pequenos bancos conseguiram pressionar os legislativos a aprovar novas leis obrigando que as lojas os reembolsem pelos custos envolvidos na notificação de clientes sobre roubos de dados ou de cartões.

Por seu lado, os lojistas argumentam que o valor pago por transação às operadoras de cartões supostamente deveria cobrir os custos relacionados a fraudes, o que tornaria qualquer pagamento adicional uma penalização dupla. Eles também dizem que a única razão pela qual arquivam dados dos cartões é porque isso seria solicitado pelas próprias operadoras. Em outubro, a NFR (National Retail Federation) pediu à Visa e outras operadoras que cancelassem esta solicitação.

5) Os maus elementos continuam difíceis de prender
Apesar de toda a atenção dada ao caso, das opiniões de especialistas e dos esforços legais das autoridades, os causadores dos roubos nunca foram presos. Algumas pessoas que utilizaram números de cartões roubados foram presas, mas os hackers que roubaram os dados continuam soltos, como na maioria dos casos deste tipo.

 

Tags

Deixe uma resposta