A Marriott foi alvo de roubo de dados de 500 milhões de clientes em 2018, e tem passado os últimos anos a enfrentar um processo nos tribunais que culpa a empresa de não usar as práticas adequadas de segurança. Mas o gigante hoteleiro tem tido uma posição bastante arrogante, tendo passado os últimos cinco anos a dizer que o processo nem sequer devia existir, pelo facto de usar um nível de encriptação avançado (AES-128) que impediria que qualquer hacker conseguisse descodificar os dados. Uma garantia totalmente falsa, como agora veio admitir.
Passados todos estes anos, os seus advogados vêm finalmente admitir que, apesar de ter garantido que tinha usado encriptação, uma auditoria revelou que afinal a empresa não estava a usar encriptação e só estava a usar o algoritmo de hashing SHA-1 nalguns dados - um algoritmo que actualmente não oferece qualquer segurança, ao ponto de ter sido proibido pela maioria das empresas e serviços. Qualquer informação codificada com SHA-1 pode ser facilmente revertida, em poucos segundos para coisas comuns, ou em poucas horas para coisas mais complexas.
Resta agora esperar que o tribunal decida aplicar uma multa exemplar, que desincentive as grandes empresas de continuarem a "brincar" com os dados dos seus clientes (e também com os tribunais) - durante anos(!) neste caso - e que incentive estas mesmas empresas a levarem a sério as questões da segurança dos dados.
Sem comentários:
Enviar um comentário (problemas a comentar?)