A recente interrupção da Garmin revelou falhas em sua segurança e comunicação
Câmera
Na semana passada, a Gamin sofreu uma interrupção massiva que não apenas impediu que seus atletas multiesportivos enviassem atividades para seus servidores, mas também derrubou seu call center, sistema de e-mail, bate-papo online e até mesmo seu serviço de aviação flyGarmin. Há rumores de que a interrupção foi devido a um ataque de ransomware, mas a Garmin levou cinco dias para reconhecer que era de fato um ataque cibernético.
Quando a interrupção começou na manhã de 23 de julho, os usuários do Garmin Connect foram recebidos com um “Desculpe, estamos em manutenção. Volte em breve." ao tentar acessar o serviço online ou através dos aplicativos móveis Connect. A conta oficial da Garmin twittou uma mensagem vaga e basicamente inútil:
Depois disso, outro tweet genérico “desculpe", junto com um breve FAQ em 25 de julho:
No geral, isso não é muito para continuar, e é um lugar ruim para se estar se você for um usuário da Garmin, especialmente porque a empresa foi igualmente vaga nos quatro dias seguintes.
Então o que aconteceu?
Ah, essa é a pergunta de um milhão de dólares, não é? A verdade é que ainda não temos certeza. Há muita especulação e boatos circulando por aí, com a fonte mais confiável (mas não confirmada) vindo do ZDnet. De acordo com o escritor Catalin Cimpanu, a Garmin foi atingida por um ataque de ransomware chamado WastedLocker.
Outras fontes afirmam que, uma vez que o ataque foi descoberto, a Garmin disse a todos os funcionários – que parecem estar trabalhando remotamente devido à pandemia do COVID-19 – para desligar todos os sistemas, incluindo os servidores da empresa (é por isso que o call center, e-mail e serviços de chat também caíram). Isso foi em um esforço para impedir que os hackers sequestrassem os servidores e criptografassem mais dados, efetivamente desligando a Garmin de seu próprio sistema.
Os relatórios continuaram a surgir durante a interrupção de cinco dias, muitos alegando que o ataque veio do grupo de hackers russo Evil Corp com uma demanda de US$ 10 milhões em dólares. Mas isso também não está confirmado.
Finalmente, em 27 de julho, a Garmin reconheceu oficialmente a causa da interrupção, afirmando que foi “vítima de um ataque cibernético que criptografou alguns de nossos sistemas em 23 de julho de 2020”. Os detalhes ainda são muito mais escassos do que eu sinto que os clientes merecem, mas isso parece pelo menos apoiar os rumores de “ransomware”.
A Garmin espera que os usuários confiem nele com muitos dados – saúde, localização, contatos, rastreamento e muito mais. A falta de transparência da empresa deve fazer com que todos os usuários da Garmin se sintam desconfortáveis em continuar seu relacionamento.
O que a Garmin fez certo
Câmera
Embora eu não esteja feliz com a forma como a Garmin lidou com a situação, vale a pena mencionar que algumas coisas foram tratadas pelo menos de maneira correta.
Para começar, assim que percebeu que algo não estava certo, a Garmin desligou seus sistemas. Segundo rumores, estamos falando de qualquer pessoa que tenha acesso remoto ao sistema, bem como a todos os servidores. É por isso que a sincronização não funcionou — não havia nada para sincronizar.
Essa primeira etapa foi crucial para proteger os dados do usuário, pois a Garmin removeu fisicamente o acesso a qualquer servidor que ainda não havia sido afetado ou sequestrado pelo ataque.
Passado isso, porém, não há muitos elogios para dar à Garmin em como lidou com a situação.
Onde a Garmin deixou cair a bola
Se tem uma coisa que uma empresa que tem seus dados privados e/ou pessoais deve entender é transparência. Se algo der errado, avise os usuários. Temos o direito de saber o que está acontecendo com nossos dados — ou mesmo o que poderia acontecer com nossos dados — em uma situação como essa.
Claro, a Garmin incluiu uma declaração vaga em suas Perguntas frequentes sobre interrupções:
Meus dados foram afetados como resultado da interrupção?
A Garmin não tem indicação de que essa interrupção tenha afetado seus dados, incluindo atividade, pagamento ou outras informações pessoais.
Acho que é alguma coisa, mas não é suficiente. Vejamos alguns casos em que as empresas foram além para deixar seus usuários saberem o que estava acontecendo enquanto estava acontecendo.
Em dezembro passado, Wyze sofreu uma violação de dados em um servidor de teste. Isso foi culpa da empresa, e foi claramente reconhecido. Wyze foi além para declarar clara e explicitamente o que aconteceu, como aconteceu e quais dados foram expostos. A situação toda era ruim, mas a maneira como Wyze lidou com isso foi exemplar.
Outro exemplo é o recente hack do Twitter. Embora a coisa toda só possa ser descrita como um desastre, o Twitter fez um bom trabalho ao comunicar o que estava acontecendo e, em seguida, acompanhar mais detalhes à medida que se tornavam disponíveis.
Câmera
E foi aí que a Garmin estragou tudo – faz dias desde que o serviço foi originalmente desativado. Após cerca de cinco dias, o serviço só recentemente começou a voltar à vida lentamente. E a declaração da Garmin é uma dança de palavras graciosa sem nenhuma explicação real além de “houve um ataque cibernético”.
Inferno, a Garmin nem se preocupou em enviar e-mail aos clientes sobre a interrupção – além de uma comunicação vaga pelo Twitter, a empresa não fez absolutamente nada para garantir que os clientes soubessem o que estava acontecendo. Isso é uma merda, porque se você não sabia onde procurar, você estava no frio. Ou pior – lendo especulações potencialmente incorretas e boatos de fontes infundadas em sites aleatórios.
O que a Garmin vai fazer sobre isso daqui para frente?
Não há informações sobre o que realmente aconteceu. Se foi de fato um ataque de ransomware, a Garmin pagou o resgate para que os dados sequestrados fossem devolvidos? Se não, como foi tratada a situação? Que medidas serão tomadas para evitar este tipo de situação no futuro?
Essa última parte é um detalhe crucial. Sempre que uma empresa for alvo de uma violação de dados, ela deve informar aos clientes o que fará para evitar esse tipo de ataque no futuro. Mas a Garmin não disse uma palavra sobre o que vai fazer. Não temos como saber se a empresa vai mudar alguma coisa. Mais treinamento de funcionários? Uma consulta de segurança de uma empresa respeitável? Nada mesmo? Quem sabe.
Essas são todas as coisas que os clientes Garmin merecem saber. Confiamos neles para manter nossos dados seguros e merecemos saber todos os detalhes quando algo acontecer.
Mas ei, pelo menos eles fizeram questão de incluir essa porcaria no final do comunicado de imprensa:
Projetado no interior para a vida no exterior, os produtos Garmin revolucionaram os estilos de vida da aviação, automotivo, fitness, marítimo e ao ar livre. Dedicada a ajudar as pessoas a aproveitar ao máximo o tempo que passam perseguindo suas paixões, a Garmin acredita que cada dia é uma oportunidade de inovar e uma chance de superar o passado.
Eu não sei como isso faz você se sentir, mas como um cliente Garmin de longa data, isso parece um tapa na cara para mim. Este não é o momento para um discurso de vendas.
Eu tenho uma ideia, Garmin: que tal você vencer ontem melhorando sua segurança e comunicação?
Então o que você pode fazer?
Muitas partes do Garmin Connect ainda não estão carregando corretamente. Câmera
Essa é a pior parte de um cenário como este – você é quase impotente para fazer qualquer coisa. Você não pode forçar a Garmin a desistir do que aconteceu ou o que vai fazer para evitar que isso aconteça novamente.
Mas você pode fazer o que tantas vezes é recomendado em situações como essa: vote com a carteira. Mude para uma nova plataforma. Exclua seus dados da Garmin e mude para algo mais confiável ou confiável. Existem muitas outras empresas por aí – como Wahoo, Polar, Hammerhead e muito mais – que fabricam produtos concorrentes com a Garmin.
O maior problema aqui é que nenhuma dessas empresas concorrentes lidou com uma situação semelhante que eu possa imaginar. Isso significa que não temos ideia de quais realmente lidariam melhor com isso.
Acho que o tempo dirá.