Outubro é considerado o mês da conscientização em segurança ("Security awareness month"), uma data escolhida para incentivar as empresas a concentrarem suas ações de conscientização.
Há muito material disponível gratuitamente para apoiar essas ações, e não por coincidência, diversas entidades e empresas compartilham mais dicas de materiais nesse mês.
Eu achei legal que eles proposta um calendário de ações, aonde em cada semana teria um tema principal e seriam divulgados um infográfico, um vídeo, um pôster e um sumário de dicas para cada tema. Acho legal ter esse tipo de planejamento para dar coerência ao programa de conscientização.
Eu já apresentei algumas palestras sobre Bug Bounty, a mais recente foi no The Developers Conference, além de ter participado de painéis sobre o assunto, como dois painéis organizados pelo pessoal do MindTheSec: na edição deste ano e também no ano passado (Bug Bounty: como implantar um programa e o que você precisa saber - veja o vídeo).
Resolvi aproveitar e compartilhar aqui algumas perguntas e respostas frequentes, baseados em minhas palestras e no que discutimos nos painéis.
Atualmente estou estudando para caçar bounts em um futuro próximo, mas estou bem no início ainda, quais conhecimentos técnicos vocês consideram fundamentais pra quem ta começando?
Eu acredito que é necessário ter um conhecimento técnico em protocolos de redes, programação e engenharia reversa. Mas, na verdade, o ideal é você escolher uma área e se especializar nela - ex: desenvolvimento web, desenvolvimento mobile, redes, etc. E aí você vai buscar vulnerabilidades específicas nessa área de conhecimento.
Para aprendizagem na prática, eu recomendo também participar de competições de Capture The Flag (CTF).
Num cenário onde existe um backlog de vulnerabilidades conhecidas e um cenário amplo de aplicações críticas. Como identificar o momento certo de colocar o bug bounty no ar e quais apps priorizar?
Na minha opinião pessoal, a empresa precisa ter um processo maduro de segurança antes de implantar um programa de Bug Boutny. Isso inclui uma cultura de DevSecOps, para minimizar a possibilidade de bugs em seus ambiente em produção, e principalmente, processos e capacidades para identificar e corrigir vulnerabilidades, preventivamente e proativamente.
Claro que cada empresa vai adotar o programa de bug bounty de acordo com sua realidade e suas capacidades. Uma possibilidade é começar o programa com um escopo limitado e ir abrindo o programa à medida que a maturidade do time vai aumentado.
O Bug bounty pode substituir o pentest?
Não. Eu acredito que o Bug Bounty complementa o esforço de identificar vulnerabilidades, que inclui o pentest, testes estáticos e dinâmicos, etc.
Além do mais, O importante é que o aplicativo esteja o mais seguro possível, dentro das capacidades da empresa. Um aplicativo inseguro em produção pode causar grandes prejuízos em fraude. Se tiver um programa de bug bounty, a quantidade de reports e o gasto com premiação pode ser enorme.
Como funciona a comunicação entre o pesquisador e a empresa diante da falha encontrada e classificada?
Toda comunicação é realizada através plataforma de bug bounty, aonde o pesquisador se cadastra, acessa a página referente ao programa da empresa e possui uma interface (por exemplo, como um formulário) para submeter o seu report. Essa plataforma permite a comunicação entre o profissional, a empresa e o time de triagem dos chamados, um serviço que pode ser fornecido pelo provedor da plataforma.
Veja, por exemplo, esse pequeno vídeo da HackerOne que explica como funciona a gestão de reports na plataforma deles:
Bugs encontrados, são decorrência da lógica falha do programador? Ou são consequência involuntárias?
Bugs podem acontecer por qualquer problema ou causa. Pode ser um erro na especificação do software ou do protocolo, pode ser um erro lógico na implementação ou causado por uma codificação errada, por exemplo.
Quando erros básicos são descobertos como isso se reflete nas equipes internas de devsecops? Advertência até demissão?
Bugs fazem parte do processo de desenvolvimento. Não existe porque punir o programador, seja uma advertencia ou nem mesmo uma demissão, a menos que você comprove que o bug foi intencional, criado com objetivo de prejudicar a empresa (o que eu acredito que deve ser raro). Se a sua empresa tiver capacidade de identificar os programadores responsáveis por determinado produto ou código, e identificar que um determinado programador tem desenvolvido software com uma quantidade muito grande de bugs, acima da média da equipe, provavelmente esse profissional precisa de treinamento e capacitação.
Não existe um contrato e seu uso na justiça se o escopo for ultrapassado? Como a empresa pode comprovar e usar esse recurso na quebra de contrato?
Antes de mais nada: não existe contrato nem relacionamento direto entre a sua empresa e os pesquisadores, tudo é intermediado pela empresa que fornece a plataforma de Bug Bounty. Na verdade, existe um contrato entre a empresa que tem o programa de Bug Bounty e a empresa que oferece a plataforma, e os pesquisadores tem um relacionamento com a plataforma, aceitando seus termos de uso ao se cadastrar nela.
Também não faz sentido para a empresa quebrar contrato com o fornecedor da plataforma caso um pesquisador reporte uma vulnerabilidade fora do escopo. Nesses casos, o que acontece é que o Report será rejeitado, a empresa não pagará a premiação e ele (ou ela) irá perder pontos de reputação na plataforma, mesmo que a vulnerabilidade seja real. Por isso poucas vezes alguém envia uma notificação sobre problema que esteja fora do escopo.
As empresas no Brasil estão começando a focar e considerar no budget o programa Bug bounty?
Eu acredito que o mercado nacional de bug bounty ainda não tem a mesma maturidade que o mercado americano e global. Acredito que poucas empresas brasileiras estão considerando a possibilidade de implementar um programa de bug bounty, mas estou vendo um aumento crescente pelo interesse no assunto.
Neste dia 13/09/2021 eu tive a oportunidade de participar, como moderador, em um painel no Mind The Sec dentro da trilha LeaderZone, em que discutimos sobre a "Diversidade na contratação", ou melhor, a diversidade no nosso mercado de trabalho. O painel foi ótimo e contou com a participação da Ceu Balzano, da Karina Queiroz e do Rodrigo Bonfim.
No meu ponto de vista, que eu expus logo no inicio do painel, o nosso mercado de trabalho é um reflexo do preconceito estrutural que existe na nossa sociedade: é formado predominantemente por profissionais do sexo masculino (homens), brancos e héteros. Proporcionalmente a população, a presença de mulheres e pessoas negras é bem pouca. Isso é consequencia do racismo estrutural, dos problemas econômicos e dos preconceitos que existem em nossa área - incluindo aquela visão incorreta de que "tecnologia é coisa de menino".
Infelizmente o tempo foi curto e todos nós ainda temos muito o que discutir sobre esse assunto, mas nós do painel preparamos uma pequena lista com 9 dicas de como promover a diversidade no mercado de segurança:
Em vez de contratar um profissional Senior, forme um Junior;
Busque pessoas em faculdades de segunda linha e colégios técnicos;
Participe de programas de mentoria para jovens;
Apoie comunidades que auxiliam as minorias a entrar no mercado;
Busque analisar a história e as motivações, seja mentor;
Tenha um canal de transparência, para receber denúncias;
Eduque e conscientize pelo exemplo, não pelo "mimimi";
Não espere que os outros vão resolver o problema por você. Arregace as mangas!
Contrate pessoas de outras cidades e estados (aproveita que liberou o home office!).
Sobre a dica do canal de transparência, quero complementar que, infelizmente, ele pode ser necessário, mas também tem o aspecto positivo de transmitir a mensagem de que a empresa está prestes a ouvir e investigar qualquer atitude inapropriada de seus colaboradores. Também transmite as minorias a mensagem de que a empresa se preocupa com elas e que existe um canal para pedir ajuda, caso necessário.
Nesta semana teremos o Mind The Sec, o maior e mais importante evento corporativo de segurança (na minha opinião). O evento, previsto para 5 dias, de 13 a 17 de setembro, Durante o evento, o intervalo de almoço será preenchido por um bate-papo apresentada pelo pessoal dos podcasts You Sh0t the Sheriff e Securecast, comigo também participando, de bicão. No ano passado fizemos essa conversa no estilo "rádio", mas dessa vez será com imagem também.
As conversa acontecerão nos dias 14 a 16, das 12:30 as 14h.
O objetivo é ter um bate-papo descontraído e divertido, comentando sobre o evento e o que mais surgir de assunto. Para contribuir com o humor de qualidade duvidosa, eu criei algumas "piadas de tiozão" sobre ransomware, que irei comentar durante a rádio:
Quantos ransomwares são necessários para trocar uma lâmpada? Só um. Os ransomwares fazem triple extorsion (criptografa, vaza os dados e faz DDoS) e ainda queimam e trocam a sua lâmpada.
O que um ransomrare disse para o outro? Não sei, estava criptografado.
Por que o ransomware cruzou a estrada? Para invadir a empresa do outro lado.
O que é um pontinho preto na tela do computador? É o ransomware DarkSide.
Por que o CISO saiu da empresa depois do ataque de ransomware? Porque ele pegou "ranço" pela coisa.
Para evitar spoilers, eu vou atualizar esse post com as respostas somente depois do evento ;)
PS: Post editado com pequenos ajustes.
PS/2: post atualizado para incluir as respostas em 14, 15 e 16/09. Duas novas piadas adicionadas em 16/09.
Uma reportagem do jornal SP TV2 trouxe números alarmantes sobre o roubo e furto de celulares no estado de São Paulo e na capital.
Segundo o levantamento baseado em dados de casos registrados pela Secretaria de Segurança Pública (SSP), cerca de 160 mil celulares foram levados pelos criminosos nos primeiros sete meses do ano, no estado de São Paulo, uma média de 31 por hora, ou 2 por minuto. Foram 86.962 casos de roubo com agressão ou uso de armas. Enquanto você lê esse post, 2 celulares foram roubados.
Para ser sincero, os dados apresentados na reportagem são um pouco incoerentes ou desencontrados: entre os erros mais gritantes, os totais e as médias parecem não coincidir, e a reportagem apresenta duas listas diferentes sobre os bairros com maior número de casos. Por exemplo, nos dados da reportagem, a Praça da República tem mais casos do que todo o bairro da República, aonde a praça está inserida! Talvez essa discrepância aconteça pela confusão entre furto e roubo - talvez os responsáveis pela reportagem tenham misturado estatísticas dos dois casos, sendo que seria mais simples tratar tudo como uma coisa só, como sugere o título da reportagem.
A propósito, quem escreveu a reportagem não se tocou que "86.962 mil" representa, na verdade, 86,9 milhões.
Mas, enfim, foram apresentadas as seguintes estatísticas:
roubo de celulares na Capital: 50.602
roubo de celulares no estado de São Paulo: 86.962
furto de celulares no estado de São Paulo: 72.763
Na cidade de São Paulo, em média são furtados 210 celulares todos os dias. Veja quais são algunss bairros com maior número de registros de furto ou roubo de celulares na capital de São Paulo de Janeiro a Julho desse ano:
Capão Redondo: 2.021 casos
Brás: 1.955 casos
Praça da República: 1.859 casos (*)
Bela Vista: 1.541casos
Grajaú: 1.541casos
Jardim Ângela: 1.328 casos
Consolação: 1.299 casos
Bom Retiro: 1.204 casos
República: 1.196 casos (*)
Campo Limpo: 1.204 casos
(*) Esses números são descaradamente conflitantes.
O elevado número de roubos na região central da cidade acontece porque esta é uma região com grande movimentação de pessoas, o que acaba atraindo os criminosos. Atualmente existem grupos especializados em roubar celulares para invadir as contas correntes das vítimas, através dos apps bancários, além de realizar fraudes nos apps de e-commerce e delivery. Por isso, os criminosos tentam pegar os celulares quando eles estão sendo usados, desbloqueados. Ou então, ao anunciar o assalto exigem que a vítima desbloqueie o aparelho. A recusa pode acabar em morte da vítima, infelizmente, como já aconteceu várias vezes.
A OLX, junto da AllowMe, realizaram um estudo sobre os principais golpes aplicados no comércio eletrônico no 1o semestre de 2021, e o resultado destacou que o "Golpe do Falso Pagamento" lidera a lista de fraudes identificadas na pesquisa, representando 42% dos casos observados e causando um prejuízo estimado em cerca de R$ 6 milhões apenas nos primeiros seis meses de 2021. A lista também inclui o golpe da falsa venda (25%0 e o roubo de dados (23%).
Nesse golpe, o fraudador elabora um falso comprovante de depósito com os dados da vítima e o envia por e-mail ou aplicativo de mensagem para finalizar a compra de um produto e convencer o vendedor que o pagamento foi realizado. Assim, a vítima faz a entrega do produto negociado, mas quando percebe o golpe, o criminoso já está com o produto em mãos e some, deixa de responder as mensagens.
Os produtos que mais foram procurados pelos criminosos foram celulares, presentes em 47% do total de ocorrências, seguido por videogames, com 19% e computadores, com 13%.
Veja algumas dicas para prevenir o golpe:
Sempre verifique a identidade das pessoas com quem está falando;
Sempre verifique que o pagamento foi realizado, antes de finalizar a venda;
Desconfie de comprovantes de pagamento recebidos por mensagem ou e-mail, Sempre confira diretamente no extrato do seu banco ou na carteira digital;
Negocie sempre pelos chats das plataformas de compra e venda e evite aplicativos de mensagem. Fraudadores preferem meios de comunicação onde não podem ser rastreados;
Desconfie de compradores apressados, que tentam agilizar o contato. Essa é uma das táticas utilizadas para passar um senso de urgência e convencer a pessoa a entregar o produto antes da confirmação do pagamento.
Esse é um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.
Entre diversas outras coisas, esse mês foi marcado pelo ataque de ransomware nas lojas Renner e pelo início das sanções da LGPD.
BlackMatter: novo grupo de ransomware cria especulação sobre volta do REvil e do Darkside. Nova versão do LockBit usa GPO para distribuir o ransomware. Especialistas descobrem mais de 30 servidores do APT29. Ciberataque interrompe a atividade dos principais portos da África do Sul.] Documentos com supostas instruções sobre ciberataques do Irã são vazados.
Novo software malicioso, chamado de Redline Trojan Stealer, é utilizado para roubar informações de terceiros se infiltrando nos sistemas. Até o momento, milhões de vítimas já foram feitas pelo mundo todo, sendo que mais de 40 mil pessoas no Brasil tiveram suas senhas vazadas pelo ataque.
Um malware focado no roubo de informações bancárias e credenciais de mensageiros instantâneos como o Discord teria sido baixado mais de 30 mil vezes a partir do repositório oficial da linguagem de programação Python, o PyPI. A praga estava dividida em oito pacotes disponibilizados publicamente por criminosos para serem utilizados em soluções legítimas. O malware foi retirado do ar assim que a administração do repositório foi avisada.
A Axur identificou o retorno de um golpe que era muito comum há alguns anos, batizado pela companhia de “golpe da renegociação”. De posse dos dados de CPF das vítimas, obtidos facilmente dos mega vazamentos frequentes de dados, os criminosos obtém informações de dívidas em sites de emissões de segunda via de boletos. Com essas informações em mãos, os criminosos entram em contato com as vítimas para oferecer uma renegociação, e nesse caso, enviam um boleto falso para o suposto pagamento.
O deputado Luís Miranda (DEM-DF) conseguiu aplicar um contragolpe em criminosos que tentaram tomar R$ 20 mil dele após hackear o chip do celular do ex-presidente da Câmara Rodrigo Maia e invadir sua conta do Telegram. Ao receber mensagem dos criminosos, Miranda viu que se tratava de um golpe e disse que o banco precisava de uma taxa de R$ 50 para fazer a transferência no mesmo dia. Logo após receber os R$ 50, Miranda enviou um áudio ao golpista tirando onda: "Bandido, comigo não".
A empresa de segurança Check Point Research (CPR) encontrou algumas falhas de segurança no e-reader Kindle, da Amazon. Segundo a companhia, ao abrir um arquivo malicioso disfarçado de e-book, o usuário pode ter seu dispositivo invadido por hackers. A Amazon liberou uma atualização obrigatória em abril de 2021, que corrige essa falha.
Após ser condenado por desviar quase R$ 600 mil de aposentados, o criminoso invadiu o sistema da Justiça Federal de São Paulo, para tentar se absolver no processo, e conseguiu ter acesso ao certificado digital de servidores, procuradores e juízes.
A Polícia Civil recebeu denúncias contra uma falsa agência que estaria aplicando golpes em Belém (PA). O estabelecimento era uma espécie de casa lotérica onde as pessoas procuravam o local para efetuar pagamentos de boletos referentes a contas de luz, telefone e internet, que estaria funcionando há uma semana. Denunciantes contam que efetuaram vários pagamentos e nenhum dos boletos pagos foi compensado.
Gigantesca operação da espionagem chinesa é documentada. APT31 usa novo Dropper contra alvos na Mongólia, Rússia e nos EUA. Pacote que abusa de erro de digitação foi baixado mais de 700 mil vezes no npm. Membro descontente de operação de ransomware vaza material da gangue. LemonDuck evolui para se tornar uma das principais ameaças de cryptojacking. Novo serviço de distribuição de malware é identificado.
Uma pesquisa da empresa Apura Cyber Intelligence concluiu que o Brasil é um dos países líderes no crescimento de ataques de dupla extorsão às empresas. O país é o sétimo mais atacado por Ransomware, atrás de Estados Unidos, Canadá, França, Reino Unido, Alemanha e Itália. As principais vítimas foram dos setores de saúde, indústria e manufatura e o setor público.
Mais de R$ 3 bilhões, cerca de US$ 604 milhões de dólares, foram roubados em criptomoedas a partir de um ataque a Poly Network, um protocolo de interoperabilidade que permite a troca de tokens entre diferente blockchains. Os criminosos transferiram centenas de milhões de dólares para carteiras de criptomoedas separadas. Em comunicado, a Poly Network entendeu que as ações do hacker foram realizadas de forma ética, para alertá-la sobre os problemas de segurança que enfrentava e devolveu os valores desviados. A empresa vai pagar a ele uma recompensa de US$ 500 mil.
Uma configuração incorreta na área Community, do Salesforc, pode levar à exposição de informações confidenciais de empresas. Como a área de Comunidades é indexada pelo Google e pode ser configurada para fornecer acesso a usuários não autenticados (convidados), criminosos podem explorar essa configuração insegura para consultar objetos que podem conter informações confidenciais.
Clientes da carteira digital Iti, do Itaú, relatam que suas contas foram movimentadas indevidamente em dezenas de comentários em redes sociais e em serviços de reclamação. Em praticamente todos os casos, os clientes perdem acesso ao aplicativo e tem movimentações estranhas em seus cartões de crédito, como transferências para pessoas desconhecidas. Além disso, quando tentam recuperar o acesso à conta, os clientes percebem que o número de celular cadastrado não é mais o seu.
Uma professora aposentada de 78 anos de idade, foi vítima de um golpe bancário por telefone cujo prejuízo pode chegar a R$ 60 mil, após receber o telefonema de uma suposta funcionária do Banco do Brasil (BB), do qual é cliente, informando sobre a tentativa de acesso indevido à sua conta. Em uma segunda ligação, a aposentada foi orientada a ativar o “módulo de segurança”, realizando vários procedimentos no caixa eletrônico.
Analistas identificaram o vazamento de dados de 1 milhão de cartões de crédito, inclusive de grandes bancos brasileiros, como Santander, Itaú, Bradesco, Nubank e Banco do Brasil. O grupo russo “All World Cards” está oferecendo de forma gratuita as informações roubadas para outros criminosos na darkweb. De acordo com informações publicadas no fórum, os dados foram roubados entre 2018 e 2019
Mais de 10 mil usuários de smartphones Android, de 144 países diferentes, tiveram suas contas do Facebook comprometidas após baixarem aplicativos falsos infectados com um trojan identificado como FlyTrap.
O MInistério da Economia publicou uma “Nota de Esclarecimento” dando conhecimento ao público de que houve um ataque cibernético de ransomware à sua rede interna, atingindo a Secretaria do Tesouro Nacional.
Os operadores do ransomware BlackMatter publicaram em seu site de vazamentos na dark web um post afirmando que estão de posse de 50 gigabytes de dados da Solar Bebidas, segunda maior fabricante e engarrafadora do Sistema Coca-Cola no Brasil.
Ataque contra Poly Network causa prejuízo de 600 milhões de dólares. Vulnerabilidades ProxyShell estão sob exploração ativa, afirmam pesquisadores. Glowworm: novo ataque reconstrói áudio por meio de flutuações de luz. Descoberta a possibilidade de conduzir ataques de DDoS de amplificação refletida por meio de TCP.
Os homens são vítimas de 91 a cada 100 golpes financeiros aplicados no país, mostra pesquisa sobre fraudes financeiras do Centro de Estudos Comportamentais e Pesquisas (Cecop) da Comissão de Valores Mobiliários (CVM). A pesquisa revelou que a criptomoeda é o produto mais citado pelas vítimas (43,3% dos casos) e que o principal meio de divulgação das fraudes é o WhatsApp (27,5% das citações).
Uma vulnerabilidade no site da Ford permitia acessar áreas confidenciais da plataforma para extrair dados de clientes da montadora e registros de funcionários, entre outras informações. O banco de dados exposto continha informações sobre clientes e funcionários, números de contas bancárias e tokens de acesso ao site. Também estavam acessíveis os perfis de usuários da organização e o sistema de emissão de bilhetes internos.
O Detran-SP (Departamento Estadual de Trânsito de São Paulo) sofreu um suposto vazamento de dados, de acordo com publicação em fórum cibercriminoso oferecendo à venda pelo valor de US$ 200 uma base com 2 milhões de linhas com informações sensíveis de motoristas, como nome completo, número do documento, placa do carro e unidade federativa. Segundo uma fonte anônima, a extração dos dados aconteceu em 2021, o que revelaria a possibilidade de vazamento não autorizado ou vulnerabilidade presente no sistema.
O JP Morgan Chase Bank admitiu, em comunicado, a existência de um bug técnico em seu site e aplicativo online que permitiu o vazamento acidental de informações bancárias de clientes para outros clientes. Entre os dados expostos estavam extratos, lista de transações, nomes de clientes e números de contas.
A Delegacia da Receita Federal em Natal (RN) divulgou um alerta sobre um novo golpe postal que está usando o nome da instituição para fazer vítima. Enviado através dos correios, uma suposta notificação alerta que a vítima deve pagar Impostos sobre Operações (IOF) para desbloquear um empréstimo feito por uma instituição financeira, e usa site falso em nome da Receita para supostamente regularizar o CPF. O documento falso alega que o crédito ou financiamento solicitado será desbloqueado somente após pagamento de um suposto imposto através de dados bancários do fraudador.
O PIX está sendo usado em golpes espalhados por mensagens em SMS oferecendo um suposto desconto em faturas de cartão de crédito e celular. Algumas destas mensagens afirmam que operadoras de cartão de crédito se uniram em uma campanha para oferecer desconto caso o pagamento da fatura seja feito com o novo método de pagamento. Outro golpe, em nome das operadoras de telefonia, promete um desconto na fatura do celular. Em comum, as chaves PIX não são relacionadas as instituições verdadeiras.
Na tarde de quinta-feira (19/08), a rede de lojas varejistas Renner foi vítima de um ataque de ransomware que paralisou o seu site, vendas online e causou impacto nas lojas físicas. Segundo uma captura de tela que circulou pela web com uma suposta nota de resgate deixada pelos criminosos, a empresa foi vítima do ransomware RansomEXX. A empresa restabeleceu sua operação em três dias e nega ter pago o resgate.
Foi identificado um ciber criminoso nigeriano tentando recrutar empregados de empresas, oferecendo 1 milhão de dólares, em bitcoins, para infectar a rede das empresas com o ransomware Black Kingdom.
A Receita Federal alertou sobre um golpe peculiar: uma carta enviada aos contribuintes contendo instruções falsas para roubar dados. As correspondências intituladas como "Intimação para regularização de dados cadastrais", enviadas pelos Correios, buscam extrair informações fiscais e bancárias dos usuários através de links maliciosos descritos no material impresso.
Criminosos estão divulgando sites e promoções falsas imitando as caixas misteriosas da Amazon, que oferecem centenas de itens divididos por categorias por valores bem abaixo do valor individual. Com os sites felaos imitando a Amazon, criminosos tentam obter dados de login e de pagamento dos clientes interessados.
A Kaspersky revelou uma perigosa ameaça em uma das modificações (mod) mais populares do WhatsApp. A empresa identificou a presença do trojan Triada no aplicativo modificado FMWhatsApp, capaz de infectar dispositivos Android e roubar dados sensíveis dos usuários.
Falha crítica permitia tomar o controle de todos os bancos de dados Cosmos DB. Ataque hacktivista contra prisão no Irã, mostra maus-tratos contra presos. Hacktivistas desferem grande ataque contra o governo de Belarus. Configuração padrão de Power Apps permitiu exposição de mais de 38 milhões de registros. Novo zero-day para iPhone é observado em ataques contra ativistas.
Uma grave exposição de dados pode ter atingido cerca de 21 mil funcionários da Claro e da NET, entre técnicos e terceirizados. Os registros estavam disponíveis online em um servidor mal configurado, pertencente à área de manutenção da companhia, com pastas que traziam cópias de documentos de identificação e até contratos com a assinatura dos prestadores.
Uma nova campanha de phishing está enganando usuários de redes sociais, pedindo que a vítima se reconheça em um suposto vídeo, já tendo coletado informações de login e senha de mais de 700 mil usuários do Facebook. As mensagens, direcionadas a usuários de redes sociais, contém links maliciosos associados a chamada “Acho que você aparece nesse vídeo, é você?”. O link direciona para uma página falsa com o logo do TikTok pede que usuário faça o download do aplicativo, levando a outra página falsa que furta as informações de login do Facebook da vítima.
O Federal Bureau of Investigation (FBI) e a Cybersecurity & Infrastructure Security Agency (CISA) publicaram um alerta para que empresas se certifiquem de estarem com as proteções em dia contra possíveis ataques de ransomware nos finais de semana e feriados prolongados no mundo todo, quando geralmente os escritórios das empresas estão fechados. As entidades ressaltam que vários ataques em 2021 aconteceram justamente nesses períodos.
Conforme a investigação, os criminosos ligavam para as vítimas se passando por integrantes das áreas de segurança de bancos e alertavam falsamente sobre o acesso de criminosos aos dados cadastrais dos clientes. A partir disso, convenciam as vítimas a fornecer senhas e dados bancários, com os quais os criminosos retiravam dinheiro das contas. Segundo a polícia, o esquema funcionava em uma sala em um prédio comercial.
Já faz um mês em que as sanções da LGPD entraram em vigor, e ainda vale a pena falar mais sobre o assunto.
Por isso, quero destacar o Data Privacy Benchmark Study, um estudo realizado pela CISCO em 2021, que trouxe informações sobre práticas corporativas de privacidade ao redor do mundo, com preocupação especial no impacto causado pela pandemia. Foram entrevistados 4.400 profissionais de TI em 25 países.
De acordo com a pesquisa, foram encontradas evidências de que a privacidade se tornou uma prioridade ainda mais importante durante a pandemia, incluindo um aumento nos orçamentos relacionados a privacidade. Veja alguns dados sobre as posturas das organizações, que foram coletados na pesquisa:
Os orçamentos (budget) relacionados a privacidade dobraram em 2020, atingindo uma média de 2,4 milhões de dólares;
79% dos entrevistados indicaram que as leis de privacidade tiveram um impacto positivo na organização;
93% das organizações reportam as métricas de privacidade para seus executivos;
93% precisaram do apoio dos times de privacidade para ajudá-las a enfrentar esses desafios;
35% está obtendo benefícios (ROI) que equivalem a pelo menos o dobro de seus investimentos;
Para 34% dos profissionais de segurança, a privacidade de dados é uma área de conhecimento importante.
60% responderam que não estavam preparadas para os requisitos de privacidade e segurança envolvidos no home office;
87% apresentaram preocupação com as proteções de privacidade para se conectar remotamente.
O pessoal do Mente Binária lançou um "Guia de Estudos e Profissões" em seu fórum. É um conjunto de dicas e referências para as pessoas interessadas em iniciar a carreira em tecnologia e segurança. Para cada carreira, são indicadas o que ela faz, que tipo de empresa contrata, os conhecimentos necessários e vídeos do canal com profissionais que trabalham nessas carreiras.
O Guia está em construção, mas já tem dicas para algumas carreiras bem legais:
Como faço periodicamente, eu dou um dump dos links e informações que pretendia usar como referência para posts aqui no blog. Afinal, tenho que reduzir o meu backlog que já soma um pouco mais de 110 posts em estado de rascunho, que comecei a escrever e nunca terminei.
Projeto bem legal no OWASP, do Allan KArdec e do Fernando Guisso: OWASP Code the Flag.
A imagem da tela do Ransomware que atacou a Accenture vazou, foi divulgada pelo Bleeping Computer, viralizou e dá frio na espinha só de olhar. Um baita "accidenture"de segurança, né?
Há um tempinho atrás o XKCD fez uma tirinha sobre "Security Advice" e pensei... "talvez eles estão certos". Afinal, as vezes o bom humor ajuda no entendimento e absorção das mensagens. Que tal compartilhar algumas "dicas de insegurança"?
Há poucos anos atrás, tivemos uma onda de ataques a bancos, com objetivo de realizar transações fraudulentas através da rede SWIFT, que é a rede global de pagamentos interbancários, permitindo transferências internacional de altos valores. Entre as vítimas mais a=conhecidas, estavam um banco em Bangladesh e outro no Chile. Um dos primeiros casos aconteceu em 2016, quando ciber crimnosos conseguiram roubar 12 milhões de dólares do Banco del Austro (BDA), no Equador.
Esse gif é bem legal para explicar como é feito o "Lockpicking":
A Inteligência Artificial contra o assédio: O banco Bradesco iniciou uma campanha contra o assédio, mostrando que o seu robô de atendimento a clientes, via inteligência artificial, recebe frequentemente comentários ofensivos - pelo simples fato de ter um nome feminino, a "Bia".
Para finalizar, compartilho aqui alguns SPAMs que tentaram publicar nos comentários aqui do Blog, que felizmente forram barrados graças ao recurso de moderação de comentários:
