Pagar ou não pagar? Esta é uma pergunta que a HBO e outras organizações afetadas por atividades criminosas on-line têm de se fazer cada vez mais.
A rede de “Game of Thrones” foi a última a ser vítima de uma grande invasão digital, com piratas informáticos alegando ter confiscado 1,5 TB de dados, que incluem episódios do programa, roteiros e documentos internos da empresa.
Os autores do crime cibernético estão solicitando um pagamento em Bitcoin substancial como recompensa, advertindo que a informação roubada será divulgada on-line se a HBO não pagar.
A HBO deveria desembolsar o dinheiro do resgate? E o que seria dos resultados se isso ocorresse?
Infelizmente, a resposta não é nítida. A HBO não é a única companhia que foi vítima de chantagem digital. No mês de abril, um grupo conseguiu acesso a episódios inéditos de “Orange Is the New Black” e solicitou o pagamento de “alguns dezenas de milhares de dólares em moeda virtual” em troca de não divulgação dos arquivos.
A Netflix optou por não fazer o pagamento, e os episódios acabaram sendo divulgados em um site de torrent. Como você pode ter notado, a Netflix se saiu bem após essa provação. Isso sugere que a HBO deve seguir o exemplo da Netflix? Talvez, mas não necessariamente.
Segundo Dimitri Sirota, CEO e co-fundador da BigID, uma empresa de privacidade de dados, pagar um resgate publicamente cria infelizmente o incentivo ao comportamento indesejado. “Se o delito for recompensado, certamente isso resultará em mais delitos”, declarou por e-mail.
“Contra-argumentando”, acrescentou, “se você pagar agora, o alvo e empresas de mesma natureza podem aliviar as falhas de segurança e se preparar para a luta de outro dia, reduzindo os danos imediatos.”
Evidente, o último ataque à HBO se diferencia do ocorrido em abril — os hackers que alegam deter mais do que a próxima temporada de produções como Vice Principals. Em linguagem quebrada, eles alegam ter conseguido “documentos muito sigilosos”, incluindo dados de TI, cópias de roteiros, documentos financeiros e muito mais.
Se achamos que devemos ter cuidado com os hackers, que é óbvio, parece que eles podem providenciar mais do que apenas spoilers se a HBO optar por não pagar. Que valor têm eles pedido à HBO?
Embora a nota de resgate exata não seja especificada, usando “XXX” para representar um preço difícil de obter, podemos estimar o montante a partir da palavra 1.712 ramble. De acordo com a tripulação, eles ganham aproximadamente entre 12 a 15 milhões de dólares por ano e esperam que a HBO pague o equivalente a seis meses de salário.
Como a HBO deverá quitar? A nota de exigência não deixou nenhum espaço para dúvidas: Bitcoin. Esta criptomoeda anônima tem se tornado uma preferência de criadores de ransomware, e parece que essa afinidade se estendeu também para os extorsionistas digitais.
Enquanto temos exemplos de organizações ou hackers que tornaram a situação pública, se a HBO decidir pagar US$ 6,5 milhões aos seus extortores em Bitcoin, será um desrespeito às vítimas de hacking passado que optaram por não se envolver.
Pergunta: Por que todas as escolhas foram feitas para não se jogar futebol? Resposta: É difícil dizer com segurança (tentamos entrar em contato com a HBO para ver se estão pensando em arcar com os custos, mas um representante se recusou a comentar), contudo, pelo menos de fora do orçamento é bastante evidente: Basicamente, os danos já foram causados.
É impossível prever se os hackers vazam as informações, seja com ou sem pagamento. É melhor considerar que tudo o que foi roubado será divulgado mais cedo ou mais tarde, e utilizar qualquer capital disponível para se preparar para a eventualidade.
É plenamente possível que outras companhias de entretenimento desembolsaram o dinheiro do resgate com a intenção de conter a divulgação de suas informações roubadas. No entanto, provavelmente elas não quiseram expor isso. Acontece que, de acordo com The Hollywood Reporter, houve pelo menos uma “corporação de Hollywood” que pagou tal indenização, mesmo que a publicação não a tenha mencionado.
Heid acredita que a HBO não deve seguir o fato de que foi invadida por hackers. O chefe de pesquisa da SecurityScorecard diz que não é necessário.
Heid destacou que “pagar um resgate nunca é a melhor solução em caso de extorsão cibernética”, disse Mashable por e-mail, “especialmente quando a ameaça de dano digital provém de alguém que promete agir no futuro próximo.” Ela acrescentou que “há uma alta probabilidade de que os dados já foram transmitidos entre muitos indivíduos relacionados ou envolvidos com o ataque, e não há garantia de que os dados não vão aparecer na internet para o público ou ser acessados por grupos hackers mesmo após o pagamento do resgate”.
Mas e se a HBO decidir esperar pela melhor oferta e pagar? A equipe por trás do hackeamento pode muito bem levar a atividade adiante. Como foi visto no caso do vírus WannaCry, o pagamento de resgate em Bitcoin pode ser facilmente transferido e existem inúmeras maneiras de ocultar o dinheiro.
As perspectivas não são particularmente positivas para a companhia de Nova Iorque. Se a HBO for flexível às reivindicações, Heid não ficará surpreso se outras pessoas piratearem também.
Ele alertou que o pagamento de recompensas encoraja os agressores a prosseguir com estas campanhas, mas não há garantia de que o acordo seja cumprido.
Então, deve-se pagar ou não? Para a HBO e outras organizações que sofrem com violações à segurança cibernética, é uma problemática sem solução perfeita. Infelizmente, para todos os envolvidos, esta é uma questão que deve ser enfrentada de vez em quando.
A segurança na Internet é um tema em evidência, especialmente com o sucesso da série de televisão Jogo de Tronos da HBO.