Páginas

junho 30, 2022

[Geek] 30 anos da internet no Brasil

Este mês de junho está chegando ao fim, mas ainda dá tempo de lembrar que há 30 anos foi oficialmente realizada a primeira conexão do nosso país com a Internet.

O fato aconteceu no dia 3 de junho de 1992, para oferecer uma conexão internacional estável e de boa capacidade para os chefes de estado e representantes de governo de 180 países que participaram da Rio-92 (ou ECO-92), a Conferência das Nações Unidas sobre Meio Ambiente e Desenvolvimento. O evento, de grande importância mundial e que representou um marco histórico no debate sobre desenvolvimento sustentável, aconteceu no Rio de Janeiro e reuniu governos, organizações não governamentais, cientistas, jornalistas e a sociedade civil, para discutir o futuro do nosso planeta.


Coube à RNP criar uma infraestrutura de conexão com a Internet para o evento, através de uma conexão entre Rio e São Paulo com saída internacional, aproveitando um projeto criado para o Fórum Global, um evento que aconteceu em paralelo a Rio-92. O Fórum Global já havia contratada uma infra-estrutura de BBS ("bulletin board system") chamada Alternex, mantida pelo Instituto Brasileiro de Análises Sociais e Econômicas (Ibase), que permitia aos participantes se comunicar com instituições no exterior, duas vezes por dia. 

O responsável pela Alternex, Carlos Afonso, articulou-se com o coordenador do projeto RNP, Tadao Takahashi, e dessa parceria, surgiram recursos do governo brasileiro para equipamentos que dariam suporte à infraestrutura necessária para os dois eventos, e que ficariam no país para o uso posterior.  Assim, foi construída uma conexão Rio-São Paulo com duas saídas internacionais para os EUA, uma na Fundação de Amparo à Pesquisa do Estado de São Paulo (Fapesp), na liderança de Demi Getschko, e outra na Universidade Federal do Rio de Janeiro (UFRJ).

Em seguida, ainda em 1992, a RNP criou a primeira rede de internet do país para fins acadêmicos, interligando dez capitais e o Distrito Federal. A rede permitiu que pesquisadores brasileiros estivessem conectados entre si e com seus pares internacionais.

junho 24, 2022

[Segurança] Castores causam DoS

Essa história, destacada no portal The Record, chega a ser engraçada: alguns moradores do noroeste da província de Columbia Britânica, no Canadá, ficaram sem energia elétrica e sem serviços de celular e de conexão Internet por oito horas devido a um incidente causada por castores: eles derrubaram uma árvore que cortou os cabos de energia elétrica e telecomunicações na região.

Em outro incidente, em abril do ano passado, castores roeram o cano de fibra ótica na cidade de Tumbler Ridge, na Columbia Britânica. O Canadá também sofre com apagões de energia causados por ninhos de pássaros nos postes de transmissão.

Assim como os castores, também são comuns incidentes com cabos de Internet envolvendo esquilos e tubarões.

Aqui no Brasil, em contraste, um grande problema enfrentado pelas empresas de energia e telecomunicações é o roubo de cabos e equipamentos, que são revendidos como sucata. Em 2021, em todo o país, mais de 6 milhões de pessoas tiveram os serviços de energia, telefonia, TV ou internet interrompidos por causa de roubos e furtos de cabos, uma perda estimada em aproximadamente R$ 1 bilhão.

Para saber mais:

junho 23, 2022

[Segurança] Você já configurou os limites de transação do PIX?

 Uma pesquisa recente do C6 Bank/Ipec trouxe alguns dados interessantes sobre fraudes e como as pessoas ainda não estão adotando alguns cuidados de segurança no uso do PIX:

  • Quase 30% dos entrevistados disseram que outra pessoa já tentou fazer compras ou contratar serviços em seu nome;
  • Mais de 70% dos brasileiros sabem que é possível ajustar os limites máximos de valores transacionados por Pix;
    • 47% ainda não configurou os limites para suas transferências com o Pix;
    • 36% já definiram novos valores para suas transferências com Pix;
    • 6% fizeram esse ajuste para apenas um dos bancos que usam;
    • 12% responderam que não se lembram.

A pesquisa C6 Bank/Ipec ouviu 2.000 brasileiros das classes ABC com acesso à internet, entre 20 e 27 de Maio de 2022.

Para saber mais:

junho 21, 2022

[Segurança] Novo ataque DDoS recorde de 26 milhões de requisições por segundo

Recentemente a Cloudflare anunciou ter recebido um novo ataque de negação de serviço (DDoS) com volume recorde, contra um de seus clientes de proteção gratuita. O ataque atingiu a marca de...


26 milhões de requisições por segundo (rps)

Em seu artigo no Blog sobre o ataque, a Cloudflare não entra em muitos detalhes e não cita o nome do cliente nem a data em que o ataque aconteceu (indica apenas que foi na semana de 06 a 12 de Junho).

Segundo o blog, a empresa detectou e mitigou automaticamente um ataque DDoS de 26 milhões de requisições por segundo (rps, sigla de "request per second", em inglês). Esse foi considerado, pela empresa, o maior ataque do tipo "DDoS HTTPS" já registrado por eles. Em menos de 30 segundos (com pico entre 22:26:30 e 22:26:40 - provavelmente horário UTC), uma botnet com 5.067 dispositivos gerou mais de 212 milhões de requisições HTTPS partindo de mais de 1.500 redes em 121 países. Em média, cada nó da botnet gerou tráfego de 5.200 rps no pico do ataque.


Segundo a Cloudflare, essa botnet é considerada pequena, por possuir apenas 5.067 dispositivos sob controle, mas mesmo assim, foi capaz de gerar um ataque tão monstruoso.

O ataque teve origem, principalmente, de provedores de serviços em nuvem. Os principais países de origem do ataque foram, pela ordem, a Indonésia, Estados Unidos, Brasil, Rússia e Índia, sendo que cerca de 3% do tráfego do ataque veio através de nós da rede Tor.

A Cloudflare cita outros ataques que detectou anteriormente de 15 milhões de rps em Abril de 2021e 17 milhões de rps em Agosto do mesmo ano. Aqui no blog eu já noticiei outros ataques DDoS de volume recorde, baseados no volume de tráfego gerado:

junho 20, 2022

[Segurança] Principais notícias de segurança em Maio de 2022

Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/05/2022 - Malware em currículos visa grandes corporações (CISO Advisor)


03/05/2022 - Proposta cria crime de fraude bancária, com 4 a 8 anos de reclusão (Senado Notícias)

O projeto de Lei (PL) 650/2022, de autoria do senador Mecias de Jesus (Republicanos-RR), altera o artigo 171 do Código Penal para estabelecer o crime de fraude bancária, com pena de 4 a 8 anos de reclusão. O projeto determina que a fraude bancária ocorre quando a pessoa aluga conta bancária para criminosos sacarem dinheiro fruto de roubo, sequestro relâmpago, e golpes cometidos com transferências via Pix após roubo de telefones celulares.

03/05/2022 - Projeto de lei busca criminalizar o golpe com ransomware no Brasil (Canaltech)

O Projeto de Lei Nº 879/2022, proposto pelo senador Carlos Viana (PL-MG), busca criminalizar o sequestro de dados, com pena de reclusão de 3 a 6 anos e, em caso de comprovada a intenção de obter pagamento de resgate para devolução do acesso aos sistemas, que o autor do ato responda por crime qualificado, com pena de 4 a 8 anos.

03/05/2022 - Uma recompensa de 10 milhões de dólares para um ataque DeFi de US$ 80 milhões (em inglês) (Info Risk Today)

A plataforma financeira descentralizada ofereceu uma recompensa de 10 milhÕes de dólares, sem questionamentos, para corrigir falha no Rari Fuse, protocolo aberto para cálculo de taxas de juros.

03/05/2022 - Polícia Civil prende em flagrante suspeita de desviar cerca de R$ 1 milhão de cooperativa (Polícia Civil)

03/05/2022 - Criminosos transformam vítimas de sequestro em laranjas para fazer transferências de Pix (Folha)

Segundo a Divisão Antissequestro da Polícia Civil de São Paulo, criminosos estão utilizando dados de vítimas de sequestro para abrir contas em bancos digitais, que são utilizadas para receber PIX de outras pessoas. As contas são criadas enquanto as vítimas estão sob poder das quadrilhas, após "limparem" as contas da pessoa.

04/05/2022 - Datasus: Credencial privilegiada permitiu hacker apagar toda a nuvem e o ambiente interno (Convergência Digital)

04/05/2022 - Fraudes aumentam 18,9% em março e fazem uma vítima a cada 7 segundos (Convergência Digital)

Segundo levantamento realizado pela Serasa Experian, durante o mês de março foram registradas 389.788 tentativas de fraude, o que representa um aumento de 18,9% se comparado com o mesmo período do ano passado, quando foram reportados 327.843 casos. Isso significa que a cada 7 segundos um brasileiro é vítima dos fraudadores. O segmento com maior crescimento da atividade dos golpistas é o Varejo, com uma alta de 74,1% nas tentativas de fraudes no setor.

04/05/2022 - Hackers criam novo golpe com restituição do Imposto de Renda (Convergência Digital)

04/05/2022 - Três em quatro internautas no Brasil confiam que suas senhas são seguras na Internet (Convergência Digital)

04/05/2022 - Ransomcloud: a última geração de ransomware tem como alvo a nuvem (Minuto da Segurança)

04/05/2022 - Github para os desenvolvedores: usem 2FA ou percam o acesso (em inglês) (Dark Reading)

05/05/2022 - Operação da Policia Civil de SP mira roubo de celulares para uso ilegal de PIX (Canal Tech)

A Polícia Civil de São Paulo realizou uma operação contra grupos que utilizam celulares roubados para receber pagamentos via PIX. No total, foram cumpridos 24 mandados de busca e apreensão na capital paulista e um suspeito foi detido. Em um dos endereços investigados, a polícia identificou na baixada do Glicério uma "Central do PIX" — um imóvel em que receptadores de celulares multiplicam os prejuízos das vítimas por meio de transferências ilegais. Um dos quartos do apartamento seria um possível local usado para manter pessoas sequestradas pela gangue e obrigadas a realizar transações. Na operação foram apreendidos mais de 50 celulares, cerca de R$ 100 mil em espécie, imitações de armas de fogo, cartões de banco e maquininhas de cobrança, drogas e dois carros de luxo.

05/05/2022 - Ataque hacker custou R$ 230 milhões à Atento Brasil (Convergência Digital)

05/05/2022 - Sistema da VTEX para lojas online expõe dados parciais e preocupa especialistas (Tecnoblog)

05/05/2022 - Relatório: Bucket AWS inseguro vazou dados de usuários de site sobre Câncer (em inglês) (Data Breach Today)

Segundo pesquisadores, um bucket inseguro da Amazon Web Services S3 pertencente a uma organização sem fins lucrativos contra o câncer expôs na Internet imagens confidenciais e dados relacionados de dezenas de milhares de indivíduos. Este é o mais recente incidente relacionado a dados de saúde envolvendo tecnologia da informação mal configurada. A exposição envolveu dados pertencentes ao Breastcancer.org, uma comunidade on-line sem fins lucrativos com sede na Pensilvânia, EUA.

06/05/2022 - Imposto de Renda 2022: Receita Federal alerta sobre novo golpe envolvendo restituição (G1)

06/05/2022 - Após ter celular furtado, morador de SP acumula R$ 143 mil de prejuízo em operações bancárias feitas por criminosos (G1)

Em um caso que viralizou nas redes sociais, o agente de talentos Bruno de Paula teve o celular roubado dentro de um táxi, em um semáforo, na volta de uma viagem internacional. Com o aparelho destravado, os criminosos fizeram uma devassa em todas suas contas pessoais, realizando operações bancárias que totalizaram mais de R$ 143 mil de prejuízo.

09/05/2022 - Campanha de phishing usa falsos e-mails de prefeituras e notas fiscais eletrônicas para golpes (Olhar Digital)

09/05/2022 - Cibersegurança: um ataque ransomware a cada 11 segundos (Convergência Digital)

09/05/2022 - Quatro em cada 10 empresas nacionais pagam resgate de ransomware para ter 50% dos dados de volta (Convergência Digital)

Segundo a pesquisa The State of Ransomware 2022, da Sophos, no Brasil, 55% das 200 empresas entrevistadas foram alvo de ransomware ao longo de 2021, bem acima dos 38% verificados um ano antes. No mundo, o percentual foi maior, 66% das 5,6 mil entrevistas em 31 países - contra 37% em 2020. Segundo o levantamento, 40% das empresas brasileiras atingidas por ransonware optaram por pagar o resgate exigido. No entanto, elas só conseguiram recuperar, em média, 55% dos dados sequestrados. A julgar pelos que revelaram o valor, a média dos pagamentos foi de US$ 211.790 (cerca de R$ 1 milhão). Pelo menos 73% das empresas entrevistadas no Brasil indicaram o backup como método mais utilizado para a restauração de dados após um ataque de ransomware. 

09/05/2022 - Novo presidente da Costa Rica declara estado de emergência após ataque do ransomware Conti (em inglês) (The Record)

10/05/2022 - Faculdade fecha devido ao custo do ataque de ransomware (em inglês) (Info Risk Today)

O ônus financeiro de um ataque cibernético ocorrido em dezembro de 2021 e os efeitos posteriores da pandemia de COVID-19 forçaram o Lincoln College, de 157 anos, em Illinois, a interromper suas operações. A faculdade levou três meses para se recuperar do ataque cibernético - supostamente um ataque de ransomware - que derrubou seus sistemas e servidores, incluindo sistemas necessários para recrutamento, retenção e arrecadação.

10/05/2022 - Download de malware cresceu 450% em 12 meses (CISO Advisor)

11/05/2022 - Exposição de dados pessoais cresce 26% na lista Fortune 1000 (CISO Advisor)

12/05/2022 - Lei que restringe pagamentos por aproximação é aprovada no Rio (Mobile Time)

A Assembleia Legislativa do Rio de Janeiro (Alerj) aprovou o projeto de lei (PL) 5.083/21 que prevê que os bancos consultem os consumidores antes de emitirem cartões de crédito ou débito com a tecnologia NFC. Desta forma, a emissão passa a depender de uma autorização por escrito ou por meio eletrônico por parte do consumidor. O PL segue para a sanção do governador Claudio Castro.

13/05/2022 - Receita alerta para novos golpes envolvendo a restituição do Imposto de Renda (Canal Tech)

13/05/2022 - Bradesco Financiamentos relata possível vazamento de dados de 53 mil clientes(Forbes)

O Bradesco informou que sua subsidiária Bradesco Financiamentos detectou um incidente que pode ter permitido a visualização não autorizada de dados de contratos de cerca de 53 mil clientes.

13/05/2022 - Americanas perdeu quase R$ 1 bi com ataque de hackers (Valor)

A Americanas perdeu em vendas R$ 923 milhões por conta da paralisação de seus sites e aplicativos após o ataque de hackers à companhia no fim de fevereiro. Foram cerca de cinco dias de operação instável ou com as plataformas da empresa fora do ar. O número consta no relatório de resultados do grupo na linha “incidente de segurança (perda de venda)”.


16/05/2022 - Golpe com Pix desviou R$ 13 milhões de fintech do Santander (Veja)

A fintech Superdigital, do banco Santander, sofreu um golpe que deu um prejuízo de 13 milhões de reais à instituição. O Ministério Público e a polícia investigam uma quadrilha que, durante dois dias, teria inflado saldos bancários e na sequência faziam Pix para diversas contas bancárias. A falha permitia que os ladrões fizessem um Pix, cancelassem e recebessem o estorno em dobro. Os investigadores perceberam que todas as contas eram reais e os donos recebiam um pagamento para o uso de suas contas.

16/05/2022 - Moradores de São Paulo passam a usar celular sem Pix na rua (Exame)

17/05/2022 - Magazine Luiza alerta para golpes com falsas vagas de emprego (Canal Tech)

17/05/2022 - Cardiologista venezuelano acusado de "criar e vender ransomware" (em inglês) (The Register)

Um cardiologista venezuelano de 55 anos está sendo acusado pelos EUA de escrever alguns malwares bastante famosos. Moises Luis Zagala Gonzales (que atende também pelos codinomes Nosophoros, Aesculapius e Nebuchadnezzar) pode ter sido o responsável pelo ransomware Jigsaw v.2, além do criador de ransomwares Thanos.

17/05/2022 - Saúde relata tentativa de acesso indevido a plataformas do SUS (Agência Brasil)

O Ministério da Saúde foi alvo de mais uma tentativa de ataque cibernético e, após ter sido identificada uma tentativa de "acesso indevido", as plataformas ConecteSUS, e-SUS Notifica e SI-PNI ficaram fora do ar para "manutenções corretivas" durante um dia.

17/05/2022 - Mais de 200 Apps na Play Store pegos enquanto espionavam os usuários Android com o Facestealer (em inglês) (The Hacker News)

Segundo a Trend Micro, mais de 200 aplicativos Android disfarçados de aplicativos de VPN, fitness, edição de fotos e quebra-cabeças foram observados distribuindo o spyware chamado Facestealer, usado para extrair credenciais de usuários e outras informações valiosas. Facestealer refere-se a um grupo de aplicativos fraudulentos que invadem o mercado oficial de aplicativos para Android com o objetivo de saquear dados confidenciais, como credenciais de login do Facebook.

18/05/2022 - Crimes com PIX em SP crescem mais de 200% no 1º trimestre de 2022 (Canal Tech)

Segundo informações da CNN Brasil, somente em São Paulo, foram registradas cerca de 1,2 mil queixas de transações não autorizadas realizadas via PIX, contra 387 no exercício anterior — um aumento de cerca de 228,4%.

18/05/2022 - Falsos aplicativos de celular são a 2ª ameaça virtual mais frequente no Brasil (Canal Tech)

18/05/2022 - Com LGPD, serviços de destruição de dados têm alta de 20% desde 2021 (Canal Tech)

18/05/2022 - Falsos aplicativos: mais de 2.3 milhões de detecções entre janeiro e abril (PSafe)

18/05/2022 - Brasil recebe nota moderada em cultura de segurança (CISO Advisor)

O Relatório de Cultura de Segurança KnowBe4 de 2022 que analisou em todos os setores e regiões do mundo as sete diferentes dimensões da cultura de segurança (atitudes, comportamentos, cognição, comunicação, conformidade, normas e responsabilidade), atribuindo 72 pontos para o Brasil, em uma escala de 0 a 100, considerado portanto um índice moderado. O Relatório inclui respostas de mais de 530.000 funcionários de 2.910 organizações de todo o mundo – inclusive do Brasil.

19/05/2022 - 1/3 das empresas pagam resgates ransomware, mas mesmo assim não recuperam dados (Canal Tech)

19/05/2022 - 72% das empresas tiveram backups atingidos durante golpes de ransomware (Canal Tech)

19/05/2022 - Testes de identidade por apps bancários são enganados por deep fakes (Canal Tech)

19/05/2022 - Fraude no home office: vagas de emprego falsas prometem renda diária (Axur)

19/05/2022 - Com medo, as pessoas adotam celulares mais simples para sair de casa (Valor)

19/05/2022 - Reconhecimento facial será rotina em ‘app’ de bancos (Valor)

19/05/2022 - Como evitar golpes pelo celular e ter mais segurança no seu smartphone (Valor)

19/05/2022 - Valor médio do resgate de ransomware subiu 45% em 2021 (CISO Advisor)

O valor médio de pedido de resgate de ransomware foi de US$ 247 mil em 2021, cifra 45% maior que no ano anterior, com a maioria dos operadores de ameaças tentando forçar o pagamento por meio da tática de dupla extorsão, de acordo com o relatório “Ransomware Uncovered 2021/2022” do Group-IB. 

19/05/2022 - Como a portabilidade de número tem sido explorada por golpistas em fraudes (UOL)

19/05/2022 - Hacktivistas atingem sites governamentais em ataques DDoS ‘Slow HTTP’ (Minuto da Segurança)

A equipe de Resposta a Incidentes de Segurança de Computadores da Itália divulgou que Hacktivistas pró-Rússia do grupo Killnet reivindicaram a responsabilidade por recentes ataques DDoS ‘Slow HTTP’ contra sites governamentais cruciais no país. Esse mesmo grupo lançou ataques semelhantes contra portais romenos e o Aeroporto Bradley nos EUA.

20/05/2022 - Sites fraudulentos usam chatbots como novas armas para roubo de dados (Canal Tech)

20/05/2022 - Pesquisa: 78% das empresas no Brasil pagariam resgate em caso de novo ransomware (Canal Tech)

Segundo um relatório da Kaspersky, 78% dos líderes de organizações brasileiras que já sofreram esse tipo de ameaça optariam por pagar o resgate em caso de um novo golpe — sendo visto como uma forma confiável de resolver o problema.

22/05/2022 - Empresa de mídia Nikkei atingida por ransomware (CISO Advisor)

23/05/2022 - Ataque cibernético em hospital compromete dados de décadas atrás (em inglês) (Data Breach Today)

Um ataque cibernético detectado em dezembro pela Arnprior Regional Health, uma entidade de saúde canadense, comprometeu uma ampla gama de dados, incluindo algumas informações de pacientes desde 1996, bem como registros de vacinação de funcionários do ano passado.

23/05/2022 - Zuckerberg é processado por violação da Cambridge Analytica (CISO Advisor)

23/05/2022 - Ciberataque à GM expôs dados de proprietários de carros (CISO Advisor)

A montadora de automóveis norte-americana General Motors (GM) revelou que foi vítima de um ataque de preenchimento de credenciais no mês passado que expôs informações de clientes e permitiu que hackers trocassem pontos de recompensa por gift cards.

23/05/2022 - Pwn2Own Vancouver premia hackers com US$ 1,1 milhão (CISO Advisor)

O concurso Pwn2Own 2022, ocorrido em Vancouver, rendeu mais de US$ 1,15 milhão aos hackers que descobriram um total de 25 zero days – vulnerabilidades totalmente desconhecidas até o momento em que foram reveladas. Segundo a organizadora do evento, a Zero Day Initiative (ZDI), as 25 vulnerabilidades foram descobertas no Tesla Model 3, Windows 11, Ubuntu, Microsoft Teams, Safari, Firefox e Oracle VirtualBox.

25/05/2022 - Saque extraordinário do FGTS está na mira dos cibercriminosos; Caixa responde (Canal Tech)

25/05/2022 - Bancos gastaram R$ 5,7 mi com treinamentos em cibersegurança (CISO Advisor)

O gastos totais dos bancos em tecnologia, englobando despesas e investimentos, devem atingir R$ 35,5 bilhões neste ano, segundo o primeiro volume da Pesquisa Febraban de Tecnologia Bancária 2022, realizada pela Deloitte. No topo da agenda de investimentos em tecnologia das instituições financeiras estão a segurança cibernética, inteligência artificial, 5G, cloud e big data. Somente em treinamentos em segurança cibernética para todos os profissionais, os bancos investiram R$ 5,7 milhões em 2021 para treinar 93,6 mil pessoas, o que representa um crescimento de 138% em relação ao ano anterior.

25/05/2022 - Relatório da Human Rights Watch revela que apps e sites de aulas online no Brasil coletavam dados privados de crianças (Olhar Digital)

25/05/2022 - Serviço Siga-me vira ferramenta para roubo da conta de WhatsApp (Tecnoblog)

Conforme explicado pelo pesquisador de segurança da informação Shobhit Sharma, contas do WhatsApp estão sendo roubadas na Índia graças a um golpe de engenharia social que consegue convencer a vítima a ligar para uma sequência de números que ativam o Siga-me. Com o recurso de Siga-me configurado e as ligações direcionadas para um número telefônico em poder do fraudador, os golpistas aproveitam algum momento que a vítima está ocupada e ativam o WhatsApp, solicitando que o código de confirmação seja enviado pelo aplicativo via ligação, em vez de SMS. Como todas as chamadas foram desviadas, os criminosos atendem o telefonema com o PIN de uso único e, a partir desse momento, o WhatsApp é desativado do smartphone da vítima para o celular do golpista.

25/05/2022 - Ataques de phishing aumentaram 54% no primeiro trimestre (Minuto da Segurança)

26/05/2022 - Após anos dormente, pacote de Python recebe atualização maliciosa (Canal Tech)

26/05/2022 - Twitter multado em 150 milhões de dólares por mal uso de dados de segurança (em inglês) (Dark reading)

A Federal Trade Commission (FTC), nos EUA, determinou uma multa de US$ 150 milhões contra o Twitter por deturpar suas práticas de segurança e privacidade, pois a rede social tem usado os endereços de e-mail e números de telefone cadastrados para autenticação de dois fatores para veicular publicidade direcionada.

26/05/2022 - Expostos dados de 30 milhões de hóspedes do MGM Hotels (CISO Advisor)

26/05/2022 - Ataque cibernético retarda vôos da indiana SpiceJet (CISO Advisor)

27/05/2022 - PIX: 1/3 dos brasileiros já sofreu golpe ou conhece outras vítimas (Canal Tech)

Segundo levantamento realizado pelas plataformas iDinheiro e Melhor Plano, do grupo Méliuz/CASH3, sobre segurança digital e o PIX, um terço (35,2%) dos entrevistados assinalaram ter vivenciado os chamados “golpes do PIX” ou conhecer outra pessoa lesada após a ação de criminosos. Além disso, 66,4% afirmaram não saber como proceder em caso de se tornarem vítimas desses crimes.

27/05/2022 - Por dentro da ferramenta pouco conhecida que dá ao JPMorgan Chase o poder de coletar dados sobre tudo que seus funcionários fazem no trabalho (em inglês) (Business Insider)

O JPMorgan Chase monitora extensivamente as ações e comunicações dos funcionários, incluindo quais aplicativos de software eles usam no trabalho e a duração de suas chamadas de Zoom.

27/05/2022 - Ransomware custa 650 mil dólares para a cidade de Quincy, el Illinois (EUA) (em inglês) (The Record)

27/05/2022 - FBI alerta faculdades dos EUA sobre vazamentos generalizados de credenciais de VPN em fóruns russos de crimes cibernéticos (em inglês) (The Record)

27/05/2022 - Uma empresa no Brasil é atacada em média 1.510 vezes por semana (CISO Advisor)

27/05/2022 - Totens do Aeroporto Santos Dumont são hackeados e passam a exibir vídeos pornôs (G1)

27/05/2022 - ‘Transfer-Ido’: empresária do Rio denuncia golpe no pix com montagem grosseira (G1)

27/05/2022 - Assaltante dança e comemora após usar cartão de vítima em compra por aproximação em Teresina; vídeo (G1)

29/05/2022 - Novo ransomware 'GoodWill' força vítimas a doar dinheiro e roupas para os pobres (em inglês) (The Hacker News)

29/05/2022 - Páginas de phishing: 1/3 tem vida útil de apenas 24 horas (CISO Advisor)

29/05/2022 - Ransomware ataca uma plataforma que atende a Globo (CISO Advisor)

29/05/2022 - LinkedIn é a marca mais falsificada por cibercriminosos em golpes de phishing (Olhar Digital)

Segundo o Relatório de Phishing de Marca do primeiro trimestre de 2022 da Check Point Research, que traz as marcas que são mais imitadas por ciber criminosos em golpes de phishing, indica que a rede social de profissionais LinkedIn está em primeiro lugar na preferência dos golpistas. Mensagens que tentaram se passar por ela representam mais da metade (52%) de todas as tentativas de phishing no período e um aumento de 44% em relação ao trimestre anterior. O distante segundo lugar fica com a empresa de logística DHL, com 14% das tentativas, seguida pela Google (7%), Microsoft (6%) e Fedex (6%). O estudo é de alcance mundial. 
31/05/2022 - BC quer responsabilizar bancos por contas laranjas usadas em golpe do Pix (Folha)

31/05/2022 - Hackers do grupo SideWinder lançaram mais de 1.000 ataques cibernéticos nos últimos 2 anos (em inglês) (The Hacker News)

31/05/2022 - Cheers ransomware atinge sistemas VMware ESXi (Minuto da Segurança)

31/05/2022 - Companhia aérea turca expõe 6,5 TB de dados em vazamento (CISO Advisor)

A companhia aérea turca de baixo custo Pegasus Airlines vazou acidentalmente informações pessoais da tripulação de voo junto com o código-fonte e os dados de voo depois de configurar incorretamente um bucket de armazenamento S3 da Amazon Web Services (AWS).

31/05/2022 - Microsoft confirma ‘zero day’ descoberto por meio do Office (CISO Advisor)

Veja também o vídeo dos incidentes do mês de Maio de 2022 produzido pela CECyber. Neste mês, eles falara sobre o mega-monstruoso ciber ataque contra o governo da Costa Rica, realizado pelo grupo Conti e fez o país declarar estado de emergência!


junho 14, 2022

[Segurança] Os 50 maiores vazamentos de dados entre 2004–2021

O pessoal da Visual Capitalist publicou um infográfico bem legal mostrando os 50 maiores vazamentos de dados nos últimos 15 anos (desde 2004 até 2021):

Estes 50 casos, sozinhos, representam cerca de 17,2 bilhões de dados vazados, sendo que o setor mais afetado foi o Web, com quase a metade disso: 9,9 bilhões. O maior vazamento identificado até o momento foi o do Yahoo, que teve a informação de 3 bilhões de usuários vazadas em 2013. Na página é possível visualizar também a tabela com informações sobre quais foram todos os 50 incidentes considerados.

A partir de agora, essa imagem é presença obrigatória em todas as suas apresentações.

Vale lembrar que o site Information is Beautiful mantém, há vários anos, um infográfico interativo sensacional com os maiores vazamentos de dados (acima de 30 mil registros): World's Biggest Data Breaches & Hacks.

Para saber mais:

junho 10, 2022

[Segurança] Cadastrou uma senha nova e esqueceu?

Uma recente pesquisa do C6 Bank com o Ipec descobriu que muita gente já se esqueceu da senha apenas 5 minutos depois de registrá-la. Segundo a pesquisa do C6 Bank/Ipec, que no final de Maio ouviu 2.000 brasileiros das classes ABC com acesso à internet, quase metade já se esqueceu da senha cinco minutos depois de registrá-la. Ou seja...


48% esqueceu a senha 5 min após registrá-la.

Esse risco de esquecimento ajuda a explicar porque frequentemente vemos o uso de senhas triviais ou repetidas, além do hábito de anotar suas senhas.

Veja mais algumas informações interessantes mapeadas por essa pesquisa:

  • 33% dos entrevistados disseram que preferem usar códigos fáceis de decorar, mesmo sabendo que eles não são seguros;
  • 10% admitiram que usaram a palavra ‘senha’ na hora de salvar uma em site ou aplicativo;
  • 34% dos brasileiros já usaram uma rede pública de wi-fi para acessar a conta do banco ou fazer compras online;
  • 15% dos entrevistados já tiveram a conta de e-mail invadida;
  • 21% sofreram invasão em uma conta de rede social.
Os números refletem algumas falta de cuidados clássicas na área de segurança, que merecem nossa atenção em ações de conscientização.

Para saber mais:
PS: Post atualizado em 13/06.

junho 09, 2022

[Segurança] Vulnerabilidades e a "alegoria do balcão do McDonalds"

Recentemente, ao participar em um painel no Fórum da Internet no Brasil organizado pelo Comitê Gestor da Internet no Brasil (CGI.br), o Carlos Cabral usou uma forma muito legal para explicar o que é uma vulnerabilidade em tecnologia - isso porque ele pretendia discutir o mercado de vulnerabilidades. De forma bem didática, o Cabral associou uma exploração de vulnerabilidade a um cenário bem simples e familiar no nosso dia-a-dia: quando você vai fazer uma refeição em um restaurante de Fast Food e pede algo fora do cardápio.


Desta forma, o Cabral criou uma analogia, que ele batizou de “alegoria do balcão do McDonalds”, e compartilhou conosco:

"Imagina que a pessoa que está ali no bancão do McDonnalds, ela tem que lidar com um conjunto específico e finito de requisições, com as quais ela pode interagir, que é o cardápio. Conjunto finito e específico de requisições. E se ela receber uma requisição que não tenha nada a ver como o contexto do trabalho dela, sabe, do nada chega alguém, aparece no balcão e fala "me dá um beijo na boca", a maravilha do cérebro humano é que a gente entende o contexto. De modo que essa pessoa, ao ouvir essa requisição, ela pode falar "Olha, se liga! Eu estou trabalhando aqui no McDonalds! Olha o cardápio e pede o que está aqui". Ou ela pode falar "Me encontra daqui a 20 minutos. Eu saio, me encontra lá fora e posso te dar esse beijo na boca". Com computadores, a coisa é diferente. De modo que, se você manda uma requisição que o computador não está esperando, ele faz as coisas muito mais malucas que podem acontecer. Ele pode entregar acesso root, ou seja, acesso com privilégio administrativo na máquina. E, usando a mesma analogia, seria o mesmo que você pedir um beijo na boca para o cara do McDonalds, ele abrir a caixa registradora e te dá todo o dinheiro que tem dentro dela. Isso é uma vulnerabilidade."
OBS: eu transcrevi a fala dele literalmente, sem alterar o conteúdo.

junho 08, 2022

[Segurança] Semana da Conta Segura

O C6 Bank está realizando várias ações bem legais durante esta semana, direcionadas aos seus clientes para divulgar cuidados básicos de segurança. Batizada de Semana da conta segura, eles estão publicando alguns posts nas redes sociais e YouTube, além de artigos no blog corporativo que, na verdade, valem como dicas para qualquer pessoa, correntista ou não do banco.

Vejam por exemplo esses três vídeos, que ficaram excelentes. E aproveitem para compartilhar no grupo da família!!! rs...

Eu preparei uma lista com os posts que foram publicados durante essa semana. São vídeos e textos curtos, objetivos e muito bem produzidos. Vejam e compartilhem:

06/06/2022 - Semana da Conta Segura, de 6 a 12 de junho (Blog)
06/06/2022 - 5 coisas que deixam a sua conta no C6 Bank ainda mais segura (YouTube)
07/06/2022 - O C6 Bank é seguro? (Blog)
07/06/2022 - Segurança digital: como não cair em fraudes na Internet (Blog)
07/06/2022 - 3 dicas de segurança para blindar o seu PIX (Blog)
07/06/2022 - 7 dicas para deixar seu celular mais seguro contra roubos (Blog)
07/06/2022 - Pix seguro: como o C6 Bank protege as contas PJ contra fraudes e golpes (Blog)
10/06/2022 - Metade dos brasileiros já se esqueceu da senha 5 minutos depois de registrá-la, diz pesquisa C6 Bank/Ipec (Blog)
11/06/2022 - 1 em cada 3 Brasileiros usam senhas fáceis em sites e app (Instagram)
10/06/2022 - O que o C6 Bank faz para manter sua conta segura (YouTube) (Instagram)
10/06/2022 - Dia dos Namorados: dicas para fazer compras on-line de forma segura (Blog)

Vejam também os conteúdos disponibilizados nessas páginas do site institucional do C6 Bank:
PS: Post atualizado em 08, 10 e 13/06,

junho 01, 2022

[Segurança] 1 bilhão de motivos para não querer ser invadido

Mais uma estatística para as apresentações dos vendedores de produtos de segurança! Após a Atento divulgar um prejuízo de 34,8 milhões de dólares devido ao ciber ataque que sofreram em outubro do ano passado, agora ficamos sabendo que a Americanas teve um impacto na receita de quase 1 bilhão de reais. Ou, mais precisamente...

923 milhões de reais

Segundo o balanço trimestral da Americanas, divulgado em 12 de maio, a empresa divulgou (na linha “incidente de segurança (perda de venda)”) que perdeu R$ 923 milhões em vendas por conta da paralisação de seus sites e aplicativos por 5 dias, causada pelo ciber ataque.

A Americanas também estima que o ciber ataque causou uma queda no crescimento nas vendas do e-commerce (medida pelo indicador Gross Merchandise Volume / GMV) no período, de 30% (estimado) para 20% (resultado medido).

Em 19 de fevereiro deste ano a Americanas foi atacada pelo grupo Lapsus$, que invadiu os sistemas da empresa e alegou ter impactado até mesmo o ambiente de processamento de cartões deles. Durante cerca de cinco dias, os sites da Americanas e Submarino ficaram com sua operação instável ou fora do ar. Na época, o mercado já previa um prejuízo de pelo menos 300 milhões de reais.

O ciber ataque foi tão bem planejado que, após as equipes de segurança e TI identificarem o ataque e recuperar seus sistemas, o pessoal do Lapsus$ continuava com acesso ao ambiente e realizou um novo ataque, destruindo novamente os servidores.

O pior de tudo foi que a invasão ocorreu em um momento em que a Americanas fazia várias campanhas associadas ao Big Brother Brasil, e diversas ações de marketing foram impactadas.

Recentemente, surgiram vários rumores no mercado de que uma parte do time de segurança da Americanas (B2W) foi demitida da empresa, justamente por conta do ciber ataque.