A gigante coreana de smartphones e TV, Samsung, perdeu uma quantidade desconhecida de dados relacionados a um número desconhecido de clientes – e ficou em silêncio por quase um mês.

Então o que aconteceu? Quem foi afetado? E os usuários da Samsung estão seguros?

O que aconteceu na violação de dados da Samsung?

A resposta curta é que a Samsung não sabe como a violação de dados aconteceu - ou pelo menos, não está dizendo no dia 2 de setembro Comunicado de imprensa, que afirma simplesmente que "no final de julho de 2022, um terceiro não autorizado adquiriu informações de alguns dos sistemas da Samsung nos EUA".

A declaração continua:

"Queremos garantir aos nossos clientes que o problema não afetou os números do Seguro Social ou os números dos cartões de crédito e débito, mas em alguns casos, podem ter afetado informações como nome, contato e informações demográficas, data de nascimento e registro do produto em formação. As informações afetadas para cada cliente relevante podem variar."

Os detalhes de contato provavelmente incluem endereço residencial, número de telefone e e-mail. As informações adicionais coletadas durante o registro do produto incluem sexo, dados precisos de geolocalização, ID do perfil da conta Samsung, nome de usuário e muito mais. Até mesmo

seu endereço de e-mail pode ser valioso para criminosos.

A garantia desanimada da Samsung pode consolar alguns clientes de que os criminosos não estão usando seus dados de cartão de crédito para, por exemplo, comprar criptomoedas não rastreáveis. No entanto, a quantidade de informações que a empresa admite poderia foram tomadas é impressionante, e não é algo tão facilmente passado como imaterial.

Com este nível de detalhe, deve ser relativamente trivial para os atacantes construir precisão ataques de spearphishing, faça swaps de SIM e pegue crédito e empréstimos em nome da vítima.

Talvez seja por isso que o lançamento da Samsung se esforce ao notar que, embora não esteja oferecendo monitoramento de crédito gratuito para as vítimas, "você têm direito, de acordo com a lei dos EUA, a um relatório de crédito gratuito anualmente de cada um dos três principais relatórios de crédito nacionais agências."

A Samsung descobriu a violação em 4 de agosto de 2022 e divulgou essas informações limitadas 30 dias depois. A legislação de divulgação de violação de dados varia nos EUA, mas é uma estipulação comum que a notificação de tal violação seja feita o mais rápido possível e sem atrasos injustificados. O prazo máximo permitido para divulgação é entre 30 dias (Colorado, Flórida) e 90 dias (Connecticut). Ao atrasar tanto a divulgação, a Samsung pode estar se colocando em algum risco.

Quem foi afetado pela violação de dados da Samsung?

Quanto a quem foi afetado, a Samsung nem está divulgando números aproximados. Pode ser todo cliente que já possuiu um dispositivo Samsung ou pode ser um mero punhado. Nós não sabemos ainda. A Samsung tentou tranquilizar os usuários afetados dizendo:

“Valorizamos a confiança de nossos clientes e, se determinarmos por meio de nossa investigação que o incidente requer notificação adicional, entraremos em contato com você de acordo”.

Polícia Android relata que, no início deste ano, o grupo de hackers Lapsus$ alegou ter exfiltrado 190 GB de dados confidenciais da Samsung, incluindo algoritmos para todos os dados biométricos operações de desbloqueio, código-fonte para o bootloader para produtos Samsung mais recentes e todo o código-fonte por trás do processo de autorização e autenticação da Samsung contas.

O que você pode fazer sobre isso?

Ok, então o que você pode realmente fazer sobre essa violação? Com esse nível de informação sendo revelado, você deve contratar um serviço de monitoramento de crédito para ficar de olho em qualquer novo cartão ou pedido de empréstimo em seu nome. Melhor ainda, congele seu crédito até ter certeza de que está seguro. Provavelmente é uma boa ideia alterar seu número de telefone também.

E se você estiver preocupado e quiser tranquilidade ou mais conselhos, entre em contato diretamente com a Samsung. Você também pode expressar sua insatisfação, para que, se algo assim acontecer novamente, eles não tratem suas informações de maneira aparentemente tão descuidada.