O pessoal do GAT criou um infográfico bem legal, que resume as principais ameaças no Brasil atualmente e algumas estatísticas relacionadas a elas. O infográfico foi baseado no resultado do relatório Ameaças Cibernéticas no Brasil em 2021.
Segundo o relatório, os cinco principais riscos são a engenharia social (phishing), os ataques de ransomware, o vazamento de dados, os ataques na cadeia de suprimentos ("supply chain") e os ataques a privacidade.
Os números destacam a dificuldade das empresas em se manterem devidamente protegidas. Apesar de 89% dos ataques serem direcionados a infraestrutura, 70% dos quais relacionados a falha na sua atualização, as empresas demoram em média 115 dias (quase 4 meses!) para providenciar a correção. Para piorar, 59% dos riscos relacionados a infraestrutura possuem correção disponível há mais de 1 ano!
O Instituto Datafolha realizou uma pesquisa, encomendada pela Mastercard, sobre a sensação de segurança dos consumidores brasileiros.
Os resultados mostram uma sensação de insegurança generalizada. Eu destaque alguns deles abaixo:
sete em cada dez pessoas (73%) já sofreram algum tipo de ameaça digital,como o recebimento de mensagens falsas de empresas ou senhas roubadas;
92% dos entrevistados temem pela segurança de seus dados;
em uma escala de 1 a 10 (em que 1 é nenhum medo e 10 muito medo), os brasileiros atribuíram nota média 7,9 ao temor de serem vítimas de um ataque cibernético;
o CPF é considerado como a informação mais sensível pelos brasileiros, e 94% tem medo de ter esse dado vazado;
13% declaram que já tiveram seus dados vazados por alguma empresa da qual é cliente;
as redes sociais foram consideradas como os ambientes menos confiáveis, enquanto hospitais, clínicas de exames médicos, escolas e faculdades são as instituições em que os entrevistados mais confiam;
em relação às redes sociais, um terço dos brasileiros (33%) acredita que esses meios são nada confiáveis na proteção desses dados, e outros 1/3 (31%) consideram pouco confiáveis.
O levantamento também questionou sobre as medidas de segurança adotadas pelos consumidores brasileiros:
96% dos brasileiros com acesso à internet afirmam que adotam medidas adicionais de segurança
83% disseram evitar clicar em links suspeitos;
75% evitam o uso de redes públicas de wi-fi;
72% usam senhas fortes (72%);
67% usam antivírus;
64% possuem senhas diferentes para conta ou aplicativo.
Eu, particularmente, tenho a sensação que os números acima, sobre os cuidados de segurança, estão otimistas demais. Mas espero realmente que seja verdade.
Apesar do medo de ataques cibernéticos, o cenário é promissor para o uso corriqueiro de serviços online. Segundo o levantamento, 66% das pessoas entrevistadas disseram concordar que é mais seguro pagar contas pela internet do que ir até uma agência bancária com dinheiro.
Aviso importante: devido a pandemia do Coronavírus (COVID-19), os eventos tradicionais de segurança viraram online, foram cancelados ou adiados. Sempre verifique o site do evento que você tem interesse.
Ainda estamos sofrendo o impacto da pandemia do novo Coronavírus, e muitos eventos continuam suspensos ou online. Mesmo com alguns eventos (principalmente nos EUA) ensaiando a volta ao presencial, a maioria ainda está em dúvida e há muita incerteza no mercado. Aqui no Brasil, existe a expectativa de que alguns eventos brasileiros consigam realizar edições híbridas e voltar ao presencial lá no finalzinho do ano, talvez Novembro e Dezembro. Por isso, exceto quando indicado o contrário, o evento será realizado online.
Por causa da pandemia, essa minha lista com os eventos mais relevantes do mercado brasileiro continua muito mais magrinha do que o de costume. Como sempre, eu listo aqui apenas os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.
Anote aí na sua agenda:
Julho/2021
10/07: Security Summit Vitória (ES) - evento gratuito e com pegada corporativa criado pela comunidade de InfoSec de Vitória;
22 a 24/07: Campus Party Digital Edition (@CampusPartyBRA) - Versão online da Campus Party Brasil, com dezenas de palestras relacionadas ao universo da tecnologia, empreendorismo e redes sociais, mas que também tem algumas palestras sobre segurança e hackerspaces;
Agosto/2021
19 e 20/08: Security Leaders Regional Sul - Versão de 2 dias do Security Leaders, online e gratuito. Evento repleto de painéis e palestras de patrocinadores;
21/08: BSides VIX (Vitória, ES) - Segunda edição da BSides Vitória
24 a 26/08: TDC Transformation (@TheDevConf) - Terceira edição online do The Developers Conference neste ano, um evento tradicional e gigante sobre desenvolvimento de software. Dentre as diversas trilhas de conteúdo, há uma dedicada a segurança e uma dedicada a LGPD;
Setembro/2021
11/09: ON Security - O Global Risk Meeting foi rebatizado, e agora se chama On Security. Esse evento tradicional da Daryus, sobre Governança, Riscos e Compliance (GRC), ganhou um nome mais modernoso e está com inscrição gratuita;
13 a 17/09: Mind The Sec (@mindthesec) - Evento direcionado ao público profissional e executivo. A Flipside teve que se reinventar na pandemia, e o MTS perdeu suas edições regionais e ficou 100% online, crescendo para 5 dias de evento - com palestras e painéis de 2a a tarde até quinta-feira, reservando o último dia para visita aos stands virtuais dos patrocinadores. O principal keynote deste ano é o Gene Spafford;
20 a 22/09: Gartner Security & Risk Management Summit - Por causa da pandemia, desde o ano passado a versão brasileira da conferência do Gartner foi substituída por essa versão genérica, direcionado a todo o público do continente americano;
06/10: 8.8 Brasil (@8dot8) - Pela primeira vez, a o maior evento de segurança do Chile, a 8.8, chega ao Brasil. O evento tem várias edições no Chile e em alguns países na América Latina, sempre prezando por palestras de grande qualidade técnica e inovadoras de palestrantes internacionais, voltadas para o público mais experiente Por causa da pandemia, o evento será online;
13 a 15/10: Latinoware (@latinoware) - tradicional conferência de software livre, normalmente realizado em Foz do Iguaçu (PR), mas que nesse ano será online. Tem diversas palestras de segurança;
17 e 18/11: Security Leaders Nacional - Edição nacional do Security Leaders. A expectativa dos organizadores é fazer um evento híbrido, com participação presencial e online;
19, 20 e 26/11: ValeSec Conference 2021 (CFP) - A 4ª edição da Vale Security Conference, evento que ressurgiu no ano passado, acontece com um formato diferente: numa sexta, sábado e depois na sexta de novo. O evento acontecerá a noite (18h as 22h) nas sextas e na tarde do sábado (15h as 19h);
22 a 26/11: Fórum RNP 2021 (@Rede_RNP) - o evento anual da RNP tem algumas atividades relacionadas a segurança, vale a pena ficar de olho;
23/11: 23/11: RNPSeg (@caisRNP) - Evento executivo organizado pelo CAIS/RNP em formato de painel sobre um tema relevante na área. Neste ano, o tema será o novo perfil do profissional de Segurança. O evento é online e gratuito e pode ser acompanhado pelo canal no Youtube;
27 e 28/11: BHack (@bhack) (Belo Horizonte, MG) - evento tradicional da comunidade de segurança de BH;
29 e 30/11: GTS 36 e GTER 50 (@gtergts) - os encontros do GTS-36 (Grupo de Trabalho em Segurança de Redes) e do GTER-50 (Grupo de Trabalho de Engenharia e Operacao de Redes) são eventos online e gratuitos com palestras técnicas de excelente qualidade. Eles acontecem, respectivamente, nos dias 29 e 30/11, junto com a 11a Semana de Infraestrutura da Internet no Brasil (que vai de 29/11 a 03/12);
30/11 a 02/12: TDC Future (@TheDevConf) - Última edição online do The Developers Conference neste ano, com expectativa de ser híbrida (presencial e online). Fique atento as trilhas de segurança e LGPD;
Dezembro/2021
03 e 04/12: ON Security 2ª edição - Evento online e gratuito organizado pelo pessoal da Daryus, desta vez com o tema "AHEAD OF THE ENEMY".
Fique de olho, pois embora a Flipside ainda não tenha confirmado se vai realizar o Roadsec São Paulo neste ano, eles seguem fazendo semanalmente o Roadsec@Home (@roadsec), todas as quartas-feiras as 19h. Nesse início do ano eles estão fazendo o evento com uma entrevista, uma palestra e um painel de perguntas e respostas ao final, tudo online e gratuito, através do canal no YouTube.
Aproveite também para assistir o máximo possível de eventos internacionais neste ano, já que a maioria segue sendo online. Alguns eventos nos EUA, incluindo a Black Hat e a Defcon, serão híbridos, com público presencial e online. Na minha opinião, os principais e mais interessantes eventos são os seguintes:
E que tal já ir planejando a jornada de eventos em 2022? Aos poucos, alguns já estão divulgando as suas datas, com forte expectativa de voltarmos a ter eventos presenciais!
Pequena atualização em 30/07. Atualizado em 27/08, 09 e 22/09.
Post atualizado em 29/09, pois infelizmente a H2HC deste ano foi cancelada. Post atualizado em 08/11 e pequena atualização em 22/11 e 16/12. Post atualizado em 24/12 pois a RSA Conference 2022 foi adiada, por causa da COVID, de 07 a 10/02 para 06 a 09/06/2022. Atualizado em 24/12 com as datas do TDC em 2022.
Não há dúvidas de que os ataques de Ransomware se tornaram o pior pesadelo das empresas. Afinal, nestes últimos 2 anos, as táticas de ataque mudaram e cresceram astronomicamente. Se até 2019 os ataques eram direcionados a sequestrar computadores dos usuários finais e exigir um resgate de, em geral, 100 dólares, de repente os ciber criminosos perceberam que poderiam sequestrar os computadores de uma empresa inteira. Deste então, o ataque a empresas se massificou e os valores dos resgates pularam para a casa dos milhões de dólares por ataque!
Desde então, se popularizou a buzzword "double extorsion", a partir do momento em que os Ransomwares corporativos passaram a exfiltrar os dados antes de criprografá-los. Assim, ameaçam as empresas de que irão vazar os dados se o resgate não for pago.
Embora a tática de "double extorsion" tenha se popularizado entre os operadores de Ransomware, a cada dia os ciber criminosos adicionam novas formas de extorsão ao seu arsenal maligno. Na verdade, já estamos na...
Septuple extorsion !
Ou seja, já são sete (7!!!) formas de extorsão realizadas pelos operadores de Ransomware! A mais recente, criada pelo grupo responsável pelo Ransomware Mespinoza (também conhecido como PYSA), consiste em buscar nos documentos roubados por indicadores de atividades ilegais da empresa, e ameaçar divulgá-las.
Assim, essa nova tática se soma as conhecidas anteriormente:
O clássico: sequestrar (criptografar) os dados locais e ameaçar não devolver (descriptografar) os dados;
Vazar (expor publicamente) os dados roubados, em fóruns online (isso foi batizado de "double extorsion");
Realizar ataques de DDoS contra a vítima;
Call centers que ligam para a empresa atacada pelo ransomware.
Avisar os clientes que a empresa teve os dados roubados!
Avisar os acionistas, para que estes possam vender suas ações antes dos criminosos divulgarem o ataque a empresa;
Vazar documentos que mostrem práticas ilegais da empresa.
Com o potencial de ganhos milionários em cada invasão, os ciber criminosos estão muito motivados para inovar nos ataques de Ransomware e buscar novas formas de obrigar as vítimas a pagar o resgate.
Vale a pena lembrar que é consenso na indústria de segurança que não devemos pagar o resgate. Além de alimentar essa indústria criminosa, o pagamento de resgate, na prática, não garante que os dados serão recuperados e não serão vazados.
PS/2 (adicionado em 30/09): Veja esse artigo que descreve um possível caso de "quadruple extorsion", do grupo responsável pelo ransomware BlackMatter, com vazamento e criptografia de dados e ameaça de expor os dados para o público ou para competidores - Ransomware Reportedly Hits Iowa Farm Services Cooperative
Eu estava assistindo a palestra The Fallacy of the "Zero-Trust Network", apresentada na RSA Conference 2019, quando logo no início, o palestrante apresentou um slide com algumas buzzzwords que a indústria de segurança promoveu desde o início dos anos 90 até hoje.
Eu aproveitei para revisar a lista dele e incluir algumas buzzwords adicionais, alguns ataques ou tecniologias de segurança que eu acredito que já tiveram um papel marcantes no mercado de segurança. A minha lista das principais buzzwords do mercado é a seguinte:
Início dos anos 90: Vírus e Worms
Metade dos anos 90: Wardialing, Firewalls
Final de 90: “Stateful Inspection” Firewalls
Início de 2000: DDoS, Wardriving, IDS, Honeypots, PKI, certificação digital
Metade de 2000: Desperimetrização, “Deep Packet Inspection” Firewalls
Final dos anos 2000: “Next Generation” Firewalls, IPS, 2FA
Início de 2010: Hacktivismo, DDoS (LOIC), Stuxnet, Dark Web, APTs
Metade de 2010: SCADA, AI, Big Data, Blockchain
Final de 2010: OSINT, IOT, MFA, Cyber
Agora (2020): Ransomware, BEC, Zero Trust, Liveness, CASB, SASE
Será que eu esqueci de alguma? Existem muitas buzzwords, mas eu tentei me lembrar das principais delas.
Recentemente eu percebi que o pessoal do CAMS MIT publicou um estudo de caso que desenvolvemos em conjunto sobre o trabalho de conscientização em segurança que eu tenho realizado no C6 Bank.
O paper Cybersecurity Culture at C6 Bank, organizado pela Dra. Keri Pearlson, descreve a cultura corporativa do C6 Bank, e como foi o processo de criação da cultura de segurança e atividades de conscientização desde a criação da área até o momento que, por causa da pandemia do novo Coronavírus, tivemos que mudar nossa estratégia para focar em ações para o público em home office. O paper cita algumas iniciativas que realizamos, desde ações tradicionais como treinamentos e publicar artigos na intranet, até algumas ações mais inusitadas.
Vejam alguns materiais do C6 Bank que eu já produzi e estão disponíveis publicamente:
Eu apresentei uma palestra no evento Security Summit & Expo Vitoria 2021, em 10/07/2021, com uma rápida discussão sobre qual poderá ser o cenário de ciber ataques após a pandemia do novo Coronavírus.
A pandemia do novo Coronavírus trouxe grande impacto para a vida de todos e para os negócios, certamente ninguém passou ileso e todos nós sofremos suas consequências. Já estamos há mais de um ano e meio nesse cenário de pandemia e isolamento social. A área de ciber segurança também sofreu grande impacto, graças principalmente a mudança repentina do ambiente de trabalho para o home office, além dos ataques direcionados que surgiram nesse período, explorando temas e preocupações relacionados ao combate a pandemia. Diversas estatísticas de mercado mostram o crescimento relevamte dos ciber ataques nesse período.
Com a possibilidade de controle da pandemia do Coronavírus, a sociedade vive na expectativa de retorno a normalidade. Mas como seria esse “novo normal”, pós-pandemia, do ponto de vista da segurança cibernética?
Para responder essa pergunta, podemos consultar os livros de história para entender como foi o cenário social e econômico após as pandemias que já surgiram (por exemplo, a Gripe Espanhola em 1918, a Gripe Aviária, etc) e juntar percepções e perspectivas do mercado de trabalho e de ciber segurança, para construir um possível cenário pós-pandêmico.
O resultado está na palestra que eu criei para o evento, e apresentei recentemente.
Antes de mais nada, é importante lembrar que alguns cenários futuros de segurança vão acontecer independente da pandemia ou do fim dela, pois são tendências globais do mercado de segurança. Eu digo isso pois acho relevante separar as tendências naturais do mercado das consequências diretas do cenário de pandemia. Por exemplo, as tendências imutáveis do nosso mercado incluem:
Aumento do ciber crime
Aumento das fraudes online
O grande crescimento dos ataques de ransomware que estamos vivendo nesses últimos 2 anos
Quando falamos das tendências pós-pandemia, pensamos nos impactos que a pandemia causou nas pessoas, nas empresas e no nosso modo de vida, como isso vai influenciar o mundo nos próximos anos e seu impacto na segurança cibernética. Agui eu estou pensando nos seguintes cenários:
Com a retomada econômica, as pessoas vão buscar saldar suas dívidas e retomar seu padrão de vida. A necessidade de dinheiro, principalmente de crédito, vai implicar num aumento de golpes relacionados, como falsas promoções, falsos empréstimos e empresas prometendo quitar dívidas por valores menores;
A euforia e super consumismo, com foco no e-commerce e aumento das vendas online, que tem trazido um volume grande de novos consumidores e empresas para esse mercado, que são potenciais vítimas devido a sua pouca experiência online. Consequentemente, há uma tendência de aumento nas fraudes no e-commerce e nos golpes relacionados, como as falsas promoções;
Com o estabelecimento do regime de home office, há uma maior demanda por ambientes de trabalho híbridos, que alinham o online e presencial, além do uso rotineiro de reuniões remotas e vídeo conferências. Consequentemente, as pessoas passarão a investir na melhoria definitiva da infra-estrutura doméstica, para ter um espaço adequado de trabalho dentro de casa, enquanto as empresas dependem cada vez mais de ferramentas baseadas em Nuvem. A consequência é que os criminosos vão explorar os ataques direcionados aos usuários domésticos e sua infra-estrutura residencial, como por exemplo, os modens domésticos. Também devem aumentar os ataques contra ambientes em nuvem e os sistemas de videoconferência e possivelmente vamos ver cada vez mais casos de vazamentos de dados partindo de ambientes domésticos;
A adoção do trabalho remoto vai impactar como as empresas fazem a gestão de seus funcionários, que agora podem trabalhar a partir de qualquer lugar. Isso traz desafios na gestão de pessoas, nos processos de treinamento e construção de cultura, incluindo uma maior dificuldade de realizar ações de conscientização. Também há uma necessidade maior de compartilhamento de dados. Assim, temos um cenário propício para que os colaboradores remotos estejam mais susceptíveis a ciber ataques, e os criminosos sabem disso. Há uma tendência, portanto, de aumento nos ataques de spear-phishing e nos ataques direcionados a infra-estrutura de acesso remoto, como por exemplo, buscando serviços remotos desprotegidos ou roubando credenciais de acesso a VNPs corporativas. Logo, poderemos ver um volume ainda maior de incidentes de vazamento de dados, mas desta vez, com os dados sendo roubados a partir dos usuários remotos;
Temos também a globalização da força de trabalho, pois agora o trabalho pode acontecer a partir de qualquer lugar - inclusive em outros países. Se há maior facilidade de buscar talentos em outras regiões geográficas (principalmente fora dos grandes centros), o lado negativo é a maior dificuldade de retenção dos funcionários, ainda mais no mercado super-aquecido de tecnologia e de segurança da informação, que sofre de um grande problema estrutural de falta de mão de obra.
Os slides da minha palestra estão disponíveis no Slideshare, e o vídeo está no YouTube.
Uma reportagem no site Computer Weekly trouxe a tona a discussão sobre um comportamento que pode ser visto nos programas de Bug Bounty: os reports de vulnerabilidade criados para "implorar por recompensas", que a reportagem chamou de "beg bounties".
Tratam-se de reports de vulnerabilidades que relatam temas de baixa complexidade, normalmente baseados em uma análise simples usando ferramentas automatizadas de scan de vulnerabilidades. Ou seja, o pesquisador simplesmente roda uma ferramenta e reporta o seu resultado, sem necessariamente ter uma análise de impacto e nem mesmo uma avaliação se o report está dentro do escopo do programa.
Conforme diz a reportagem, os "beg bounties" geralmente são bugs simples, que podem ser escaneados em larga escala com ferramentas automatizadas, e traz como exemplo erros de configuração de SPF ou de registro DMARC no DNS das empresas (que pode permitir que um determinado domínio seja usado em mensagens de SPAM e phishing).
Eu também incluo nessa categoria de "beg bounty" os reports que criticam a falta de seguir princípios de segurança - como, por exemplo, se o app não possui uma política rígida de senhas para seus usuários. Mas eu também já vi reports em programas de bug bounty de problemas que deveriam ser tratados pela central de atendimento - por exemplo, se o app apresentou um problema esporádico - como quando não completa o login ou apresenta alguma indisponibilidade.
O problema é que tais reports geram ruído: são relatórios que pouco agregam para a segurança da empresa e geram um trabalho desnecessário do time que gerencia o programa de Bug Bounty, que deve tratar tais chamados. Também é frustrante, pois a empresa que tem um programa de Bug Bounty tem a expectativa de receber reports válidos e interessantes, que encontrem vulnerabilidades sérias, que seu time não conseguiu identificar previamente.
Para evitar esse ruído, as empresas tentam restringir o escopo de seus programas de Bug Bounty, de forma a evitar tais reports. Isso pode ser feito ao excluir reports relacionados aos problemas mais específicos, por exemplo, citando nominalmente que não aceita reports relacionados a falhas de configuração em DNS. Também podem exigir que o pesquisador apresente um exploit ou um exemplo de exploração - e quem somente roda ferramentas automatizadas provavelmente não vai ter conhecimento para fazer isso.
Este é o segundo, de uma nova série de posts mensais com uma lista das principais notícias de segurança que aconteceram no mês anterior. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais brasileiros. Algumas notícias, que eu acho mais relevantes ou interessantes, estão acompanhadas por um rápido resumo, quase um tweet.
A ExaGrid, fornecedora de um sistema de backup considerado robusto e "anti-ransomware", foi atingida por um ataque do ransomware Conti em maio deste ano. Os cibercriminosos obtiveram acesso a dados de funcionários e clientes, bem como a contratos confidenciais. Segundo o portal francês LeMagIT, em 13 de maio a ExaGrid pagou um resgate de 50,75 bitcoins (aproximadamente US$ 2,6 milhões) aos cibercriminosos para recuperar seus sistemas.
O senador Flávio Bolsonaro divulgou quase todos os seus dados pessoais no Twitter, ao publicar um post em comemoração à sua recente filiação ao partido Patriotas. Em uma foto junto ao presidente do partido, Flávio mostra o seu documento de filiação preenchido com seus dados pessoais e sua assinatura. Como consequência, o senador foi inscrito em diversos serviços de streaming, filiado a outros partidos e está recebendo mensagens pelo WhatsApp e Telegram através do seu número pessoal.
Cibercriminosos estão enviando e-mails falsos, confirmando o "cancelamento de inscrição" de um serviço de propaganda por e-mail, como forma de validação de endereços e e-mail, para futuras campanhas de phishing e spam.
A desenvolvedora chinesa acidentalmente vazou dados de perfil de 6 milhões de jogadores do game Battle for the Galaxy, que estavam armazenados em uma base de dados Elasticsearch (em nuvem), sem as devidas configurações necessárias.
Uma pesquisa feita pelo Instituto Datafolha para a Mastercard, chamada de “Barômetro da Segurança Digital”, mostra que 57% das empresas brasileiras nos setores de educação, finanças e seguros, tecnologia e telecom, saúde e varejo são alvo de fraudes e ataques digitais com média ou alta frequência, e que em apenas 32% delas existe uma área de cibersegurança. Cibersegurança é considerada muito importante para mais de 80% das empresas, mas não é uma prioridade no orçamento para 39%.
Publicitário de São Paulo descobriu o financiamento de um carro em seu nome, contratado à sua revelia, logo após ele mostrar o rosto para o celular de um motoboy, para confirmar a respectiva identidade e, assim, receber um brinde na sua residência.
Segundo relatório da S&P Global Ratings, os ataques cibernéticos podem afetar as classificações de risco principalmente por causa de danos à reputação e potenciais perdas financeiras, sendo que os Bancos e outras instituições financeiras são alvos potenciais de ciberataques porque mantêm dados pessoais valiosos e atendem a requisitos e setores financeiros e econômicos específicos.
Apesar de ter recuperado seus sistemas imediatamente após um ataque de ransomware, o hospital Sturdy Memorial Hospital, em Massachusetts (EUA), optou por pagar o resgate exigido pelos ciber criminosos pois isto iria garantir que os dados exfiltrados fossem destruídos, incluindo dados de pacientes.
JBS sofre ataque do REvil. Campanha afetando o governo de Mianmar é identificada. Membros do Carbanak são condenados a oito anos de prisão. Desenvolvedora do Trickbot é presa. Amazon permitirá compartilhamento de dispositivos entre seus clientes.
A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA fez parceria com a empresa Bugcrowd para lançar a primeira plataforma de política de divulgação de vulnerabilidade (VDP) de crowdsourcing para todas as empresas e agências federais do governo americano.
O Poder Judiciário de São Paulo emitiu ordem de busca e apreensão com base na LGPD (Lei Geral de Proteção de Dados Pessoais) em razão da suspeita de utilização indevida de dados de clientes por parte de uma corretora de planos de saúde. Os proprietários da corretoras responderão a processos cíveis e criminais.
A gigante de jogos Electronic Arts (EA) foi invadida por cibercriminosos, que roubaram uma grande quantidade de código-fonte e ferramentas internas relacionadas a alguns jogos. Os criminosos dizem ter obtido 780 Gb de dados e os estão anunciando para venda em várias postagens de fóruns de hackers clandestinos, incluindo o código-fonte do jogo FIFA 21.
Uma revenda da Audi e Volkswagen nos EUA deixou uma base de dados exposta na Internet com dados pessoais de aproximadamente 33 milhões de proprietários de veículos da marca, incluindo informações de cadastro dos automóveis e dados sobre o financiamento dos mesmos.
Segundo a reportagem, proliferam na capital paulista quadrilhas especializadas em furtar aparelhos celulares com o propósito de acessar os aplicativos de bancos para subtração de valores. O principal alvo dos bandidos são os aparelhos que já estão desbloqueados pelos próprios usuários.
ALPACA: novo ataque contra o TLS é identificado. Descoberta nova ameaça que foca em Windows Containers. Kaspersky documenta campanha baseada em zero days no Chrome e no Windows. Pesquisadores descobrem malware em imagens no Steam. Dispositivo criptografado sob controle do FBI permite megaoperação policial.
O McDonald's sofreu um ataque cibernético e teve dados internos de funcionários e franqueados furtados pelos cibercriminosos. A empresa informou que demorou uma semana para interromper o acesso não autorizado após sua identificação.
A polícia do Espírito Santo identificou e prendeu um comerciante de 33 anos que tentou aplicar golpes bancários que, somados, atingiriam o valor de quase meio milhão de reais. O comerciante usava de dados de pessoas de diversas regiões do país para abrir contas e conseguir cartões falsos na tentativa de obter empréstimos, que nunca seriam pagos.
Após recentes notícias sobre quadrilhas especializadas no roubo de celulares para acessar aplicativos de bancos, o Procon-SP notificou dez empresas do setor financeiro cujos dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras não atenderam aos clientes vítimas de furto, roubo ou fraude.
Órgãos de proteção ao mercado apertam o cerco às Big Techs. Operação policial encerra atividade do Clop Ransomware. Campanha de operadores do Redline afeta artistas digitais. Procon notificou a Apple e a Febraban sobre fraudes com celulares roubados. Microsoft desbarata operação de business email compromise.
De acordo com a unico, uma IDTech brasileira, só em 2020, o número de fraudes relacionadas ao uso de informações pessoais alheias (personificação ou falsificação ideológica) cresceu cerca de 300% em relação ao ano anterior.
Segundo relatório da Fortinet, no primeiro trimestre de 2021 o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos, liderando o ranking da América Latina, que somou 7 bilhões de tentativas nesse período. Os pesquisadores identificaram que em janeiro, fevereiro e março deste ano, houve um aumento significativo na distribuição de malwares via web e diversas tentativas de execução de código remoto a roteadores e redes domésticas, o que mostra que cibercriminosos estão cada vez mais interessados nos profissionais que estão trabalhando de casa, remotamente.
O Idec (Instituto Brasileiro de Defesa do Consumidor) enviou uma notificação extrajudicial à rede de farmácias Raia Drogasil questionando a prática de coletar impressão digital dos clientes. Segundo a entidade, a prática envolve o uso de dados sensíveis sem justificativa plausível e representa risco ao consumidor.
A plataforma de mensagens instantâneas WhatsApp registrou o aumento de grupos que prometem lucro financeiro mediante a transferência, por meio de PIX, de pequenos valores, que variam entre R$ 1 e R$ 10. A iniciativa propõe que cada usuário recrute mais pessoas. Especialistas alertam que a prática tem características de pirâmide financeira, considerada crime no Brasil.
Process Ghosting: Nova técnica de evasão de malware é descoberta. Framework D3FEND é publicado pelo MITRE. John McAfee é encontrado morto em prisão espanhola. Falha de severidade alta é encontrada em BIOS da Dell. Descoberta falha que permitia ataque de Supply-Chain contra a Atlassian. Microsoft lança o Windows 11.
A Polícia Civil de Campinas (SP) investiga um golpe que retirou R$ 7,4 milhões de uma conta da Prefeitura de Campinas no Banco do Brasil por meio de diversas transferências. Segundo as investigações, o dinheiro foi furtado por meio de 60 transferências bancárias por TED e PIX para dezenas de contas físicas e jurídicas. Ao todo, foram feitas 64 transferências, mas quatro não foram concluídas.
Segundo a Mercedes-Benz USA, um de seus fornecedores expôs 1,6 milhão de registros que pertenciam a seus clientes e possíveis compradores. A maioria dos registros expostos continha nomes, endereços, endereços de e-mail, números de telefone e possivelmente informações sobre veículos adquiridos. Os dados foram coletados em sites de concessionárias e da Mercedes-Benz entre 1º de janeiro de 2014 e 19 de junho de 2017.
