[Cidadania] Mini Documentário sobre a CryptoRave

O Coletivo Digital fez um vídeo síntese sobre o que é a CryptoRave e porque você deve participar, propor atividades e apoiar a existência da #CR2025.

O vídeo tem menos de 5 minutos e passa uma ótima idéia sobre o que é a CryptoRave.

A CryptoRave chega na sua 9ª edição como o maior evento gratuito de segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede do mundo.

Inspirada no movimento internacional das CryptoParties, a CryptoRave é um esforço coletivo para difundir os conceitos fundamentais de privacidade e liberdade na Internet e ampliar a adoção de práticas e ferramentas de segurança digital (comunicação criptografada, entre elas).

São 24h de oficinas, palestras, debates contra o vigilantismo, a favor da privacidade, a favor da liberdade na rede, para ensinar as pessoas a usar ferramentas de criptografia e de navegação anônima na internet, mas também de aprofundar em temas quentes como Inteligência Artificial, Cuidados Digitais e Direitos Digitais.

É um evento comunitário, construído somente por pessoas voluntárias.

 
Apoie o evento via catarse.me/cryptorave2025.

Visite o site: https://2025.cryptorave.org.

[Segurança] Um final de semana de CryptoRave e BSidesSP - a Lollapalooza da cybersegurança!

Sim, nesse ano a CryptoRave e a Security BSides São Paulo (BSidesSP) vão acontecer coladas, no mesmo final de semana e a 150 metros de distância:

• 16/05 (sexta-feira), das 18h as 5h da manhã: CryptoRave
• 17/05 (sábado), das 8h as 17h: CryptoRave
• 17/05 (sábado), das 15h as 18h: BSidesSP (*)
• 18/05 (domingo), das 10h as 19h: BSidesSP

No sábado da BSidesSP temos poucas atividades: apenas os mini-treinamentos, uma competição de Masters of Pwnage e atividade de esquenta para o CTF.

Ou seja, dá para curtir a CryptoRave na sexta a noite e sábado de manhã, ficar pipocando entre a BSidesSP e CryptoRave no sábado a tarde e dedicar o seu domingão para a BSidesSP <3

E, se você tiver ingresso, ainda vai no You Sh0t the Sheriff (YSTS) na segunda-feira, 19 de maio! Vai ser um Lollapalooza da cybersegurança!!!

Sabe o que é melhor? Os dois eventos acontecem com um semáforo de distância!! Sim, você sai da Biblioteca Mário de Andrade, onde acontecerá a CryptoRave, cruza a esquina da Consolação com a avenida São Luis, e chega no Hotel Nacional Inn Jaragua, da BSidesSP!

A propósito, corre que o call for papers dos dois eventos vai encerrar!!

• CFP da Cryptorave encerra dia 28/03 - https://cpa.cryptorave.org/cryptorave-2025/cfp
• CFP da BSidesSP encerra dia 01/04 - https://securitybsides.com.br/2025/cfp/

E eu disse que os dois estão com a chamada para voluntários aberta?

• Voluntários na CryptoRave
• Voluntários da BSidesSP

Ah, falta apenas 29% para a CryptoRave bater a sua meta de financiamento coletivo. O evento não aceita patrocinadores, é totalmente bancado pela comunidade! Não perca tempo e apoie!!

A CryptoRave chega na sua 9ª edição como o maior evento gratuito de segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede do mundo. São 24h de oficinas, palestras, debates contra o vigilantismo, a favor da privacidade, a favor da liberdade na rede.

#bsidessp #houseofhackers #bsidessp20ed

A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2025 acontecerá nos dias 17 e 18 de Maio de 2025 e conta com o patrocínio da Apura Cyber Intelligence, Gemina, Hacker Rangers, Hekate, LogicalIT, Cymulate, Forcepoint, HPE / Aruba Networking, Leonnes Cybersecurity, PurpleBird e Webdefense, além da Beephish, BugHunt, Thallium e Vantico. A competição de Capture The Flag (CTF) é realizada graças ao apoio da comunidade Hack in Cariri e conta com o patrocínio da Defcon1 e da LUMU. A realização do evento conta com o apoio sensacional da Hekate.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Anote aí na sua agenda:

• Security BSides São Paulo (BSidesSP) edição 20
• Site: https://www.securitybsides.com.br
• Quando: dia 17/05 a partir das 15h e 18/05 a partir das 10h
• Onde:
• Hotel Nacional Inn Jaragua
• R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000
• e-mail: reservas1_arroba_nacionalinnjaragua.com
• Cupom de 5% de desconto para hospedagens no período do evento (aplicar na tela de pagamento): BSIDES25

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais, no nosso grupo no Telegram e no nosso site.

[Comunidade] O Manifesto da BSidesRJ

Nesse último final de semana, no sábado dia xx de março, foi realizada a primeira Security BSides Rio de Janeiro (BSidesRJ), marcando a volta de eventos de segurança organizados pela comunidade local. Também ;é a quarta Security BSides brasileira, seguindo os passos de São Paulo (BSidesSP), Vitória (BSides VIX) e João Pessoal (BSidesJP).

O evento foi super bem organizado, com uma grade excelente de palestras e várias atividades, e recebeu quase 500 pessoas.

Parabéns aos organizadores, patrocinadores, palestrantes, voluntários e público da BSidesRJ, é muito legal e muito importante termos um evento de comunidade no Rio !!! O Rio merece, a galera do Rio merece. Sabe quando você sai do evento leve, feliz, com o "coração quentinho"? Isso é o que acontece quando vamos num evento de comunidade, feito pela comunidade, isso foi a minha sensação no final da BSidesRJ.

Durante o evento, os organizadores compartilharam um manifesto sobre a importância da comunidade e o papel da BSidesRJ, que merece ser compartilhado aqui no blog:

Como praticamente toda a mídia da BSideRJ, essa carta até poderia ter sido escrita utilizando alguma inteligência artificial (gostaram da camisa, da música e das artes? ), talvez até utilizaremos para um retoque final, mas o que temos para falar nesta carta, nada que é artificial seria capaz de traduzir: sentimento!
Sentimento de dever cumprido, sentimentos diversos como nervosismo, felicidade, estresse, mas o mais importante: pertencimento!
Mas antes, preciso admitir uma coisa: a BSideRJ não foi o primeiro evento da comunidade Hacker no Rio de Janeiro. Já tivemos uma edição do Hack in Rio em 2014, outros eventos menores e até com nomes semelhantes. Algumas tentativas de Hackerspaces como o Kernel 40° e o Rio Hacker Maker Space, fora todos os outros eventos e atividades que a minha parca memória não consegue lembrar. No entanto, nenhum deles chegou perto da magnitude da BSidesRJ (devem ter umas 500 cabeças hoje aqui, vieram de mulãol), e é a vocês que eu quero agradecer!
Costumávamos ir para os eventos em São Paulo para encontrar a nossa família (hacker), amigos, amigas e colegas que muitas vezes moram no mesmo bairro que nós. Eu sei que carioca tem aquela mania escrota feia de falar: "Coé, vou colar lá" (e nunca aparecer), mas precisávamos de um lugar, um evento, um dia para chamar de nosso e assim surgiu a BSideRJ. Mas não se enganem, a força do evento não vem de uma pessoa ou de um grupo, ela vem de vocês! Então meu apelo é: não deixem o evento miar!
Hoje temos um lugar para nos reunir, contar histórias, criar memórias, ensinar e aprender. Aproveitem!
Pensamos nesse evento com muito carinho. Espero que visitem todas as salas, conversem com o maior número de pessoas possível, troquem cartas de Masters Of Pwnage, adesivos, resolvam os desafios do CTF, encontrem os easter eggs escondidos no evento, enfim, divirtam-se.
Para fechar, não poderia deixar de agradecer aos nossos patrocinadores: IBLISS, Clavis, Hakai & Hacking Club, Vortex, Hatbash e à Universidade Veiga de Almeida por acreditarem nesse projeto, bem como a todas as comunidades que deram aquela força e a todos os palestrantes que dedicaram tempo e pesquisa para estarem aqui compartilhando o que temos de melhor como comunidade: nossa essência - o que nos faz ser quem somos - o conhecimento!

Assinado Felipe Pr0teus & Time BSidesRJ

PS: Gostou da BSidesRJ? Ou queria ter ido? Não se esqueça que nesse ano ainda teremos 3 Security BSides: a BSidesSP (17 e 18 de maio), a BSides Vitória (14/06) e a BSidesJP (20/09).

[Segurança] Vem aí o Primeiro CTF sobre Inteligência Artificial!

E aí, hacker! Tá pronto pra testar suas skills em ataques e defesa contra a Inteligência Artificial (IA)?

Nesse sábado agora, 29 de março, o Garoa Hacker Clube vai ser palco de um CTF insano, onde você vai poder explorar os limites da inteligência artificial (e da sua própria inteligência).

O que te espera?

• Jailbreak de LLMs – faça a IA falar o que não deve
• Ataques adversariais – confunda modelos como um verdadeiro illusionista digital
• Data poisoning – corrompa datasets e mude a realidade
• Deepfakes – manipule rostos, vozes e descubra quem é real (ou não)

Se você curte AI Security ou só quer ver deepfakes e redes neurais sendo hackeadas ao vivo, essa é a sua chance! Inscreva-se antes que os bots dominem o mundo.

Esse CTF surgiu a partir de uma parceria inédita entre a comunidade da Village de IA, a comunidade Hack in Cariri, o Garoa Hacker Clube e a Conferência Security BSides São Paulo (BSidesSP).

Como participar?

• O CTF vai acontecer na sede do Garoa Hacker Clube, em Pinheiros, no dia 29/03 das 15h às 18h
• Inscreva-se nesse formulário (20 vagas)
• Cadastre-se na plataforma da Hack in Cariri (pode ser feito antecipadamente ou no dia do evento)
• O CTF será individual
• Treine online para aprimorar suas habilidades antes da competição.
• Leve seu notebook e prepare-se para a ação! 

O CTF é  limitado a 20 vagas, que serão preenchidas por quem já fez a inscrição, respeitando a ordem de chegada.

Além de muita adrenalina e aprendizado, teremos um happy hour e uma premiação especial para os 3 primeiros colocados!

Inscrições e mais informações neste formulário.

Mais informações:

• Local: Garoa Hacker Clube (Rua Pascoal Bianco, 48 Pinheiros, São Paulo, SP)
• Quando? 29/03/2025
• Horário: 15h às 18h (seguido de happy hour )
• Formato: Presencial e individual, limitado a 20 vagas 
• É necessário levar o seu próprio computador e ter um navegador para acesso à Internet
• Organização: Village de IA, Hack In Cariri, BSidesSP, Garoa Hacker Clube
• Patrocínio: Defcon1, Forcepoint, LUMU, Novatec Editora, Palo Alto

Essa competição faz parte do calendário de preparação para o CTF oficial da conferência Security BSides São Paulo, que acontecerá nos dias 17 e 18 de maio. 

#bsidessp #houseofhackers #bsidessp20ed

A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2025 acontecerá nos dias 17 e 18 de Maio de 2025 e conta com o patrocínio da Apura Cyber Intelligence, Gemina, Hacker Rangers, Hekate, LogicalIT, Cymulate, Forcepoint, HPE / Aruba Networking, Leonnes Cybersecurity, PurpleBird e Webdefense, além da Beephish, BugHunt, Thallium e Vantico. A competição de Capture The Flag (CTF) é realizada graças ao apoio da comunidade Hack in Cariri e conta com o patrocínio da Defcon1 e da LUMU. A realização do evento conta com o apoio sensacional da Hekate.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Anote aí na sua agenda:

• Security BSides São Paulo (BSidesSP) edição 20
• Site: https://www.securitybsides.com.br
• Quando: dia 17/05 a partir das 15h e 18/05 a partir das 10h
• Onde:
• Hotel Nacional Inn Jaragua
• R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000
• e-mail: reservas1_arroba_nacionalinnjaragua.com
• Cupom de 5% de desconto para hospedagens no período do evento (aplicar na tela de pagamento): BSIDES25

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais, no nosso grupo no Telegram e no nosso site.

[Carreira] Lives de Empregabilidade da WOMCY

As Lives de Empregabilidade da WOMCY estão no ar!

E a primeira será agora, nessa quarta, 26/03/25, às 19h, com Sheyne Martins, especialista em gestão de pessoas na área de cibersegurança. Ela irá compartilhar dicas valiosas sobre como elaborar um currículo impactante para a área de Segurança da Informação.

Se você está buscando sua primeira oportunidade em Cyber, essa live é a chance de aprender com uma especialista que entende do mercado. Descubra como construir um currículo que destaque suas habilidades e torne-se membro da nossa comunidade para dar os primeiros passos nessa área tão promissora.

Anota aí na sua agenda: 

• Live: “Como elaborar um currículo impactante para a área de Segurança da Informação”
• Data: 26/03/25
• Horário: das 19h as 20h
• Inscreva-se aqui: https://forms.gle/YteBdZbGqdJqouL86
• Transmissão ao vivo pelo YouTube.

Não perca essa oportunidade de transformar sua carreira!

[Segurança] A sexta-feira da maldade da Oracle Cloud

Na sexta-feira passada, 21 de março, a comunidade de segurança ficou em estado de alerta por causa de um possível vazamento de dados de clientes do serviço de nuvem da Oracle.

Afinal de contas, quase todo mundo usa a Oracle!

Isso aconteceu porque nesse dia circulou a notícia de que um usuário chamado "rose87168" postou uma mensagem no BreachForums, um fórum underground super popular, anunciando que teria obtido um suposto acesso à informações privilegiadas sobre os clientes da Oracle Cloud. O post foi publicado no fórum no dia anterior, 20/03.

A empresa CloudSEK foi a primeira a reportar esse incidente, em seu blog, que chamou de "o maior ataque à cadeia de suprimentos de 2025". No período da tarde, aqui no Brasil, a notícia circulava em vários grupos de Whatsapp da galera de cibersegurança.

Segundo esse usuário, ele teria obtido informações dos servidores de login do serviço de nuvem da Oracle  (login.{nome_da_região}.oraclecloud.com) e obteve cerca de 6 milhões de dados confidenciais de clientes, incluindo credenciais de Single-Sign-On (SSO) e LDAP, além de outros tipos de senhas e chaves de clientes. No post ele compartilhou uma lista de vítimas ("company list"), um trecho de exemplo da base LDAP e da base de dados roubada.

Segundo a lista de domínios de vítimas do vazamento, compartilhada pelo criminoso, a quantidade de empresas afetadas beira os 140 mil.

A CloudSEK publicou uma ferramenta gratuita para verificar se sua organização está na lista de vítimas compartilhada pelo atacante: https://exposure.cloudsek.com/oracle.

Se a sua empresa está na lista de vítimas, ou não, vale revisar toda a segurança do seu ambiente na Oracle Cloud:

• troque credenciais e chaves de acesso;
• revise as permissões de acesso;
• instale os patches de segurança mais recentes;
• monitore o seu ambiente.

O criminoso está leiloando os dados roubados, oferecendo a base pelo melhor preço. Ele também convidou as empresas afetadas pelo suposto vazamento que o procurem, pois ele está cobrando um determinado valor para retirar os dados da empresa dessa base, antes de vazá-la.

Segundo a CloudSEK e a Orca Security, o criminoso explorou uma vulnerabilidade crítica no Oracle Access Manager, a CVE-2021-35587.

A Oracle negou categoricamente que o incidente tenha ocorrido.

Em resposta a negativa da Oracle, o ator rose87168 tem publicado novas evidências de seu ataque, incluindo um arquivo plantado dentro da Oracle Cloud. E vários portais de notícia declararam que empresas reconheceram a veracidade dos dados expostos no sample que o ator disponibilizou.

Segundo análise da empresa Zenox, o Brasil aparece como o segundo país mais impactado pelo vazamento, com 4.387 domínios listados no arquivo de vítimas (combinando .com.br e .br). O domínio .com, lidera essa lista de vítimas, com 79.227 domínios identificados.

A Trustwave publicou um post bem legal, onde detalhou as características e riscos dos dados vazados, além de listar os domínios mais citados no sample:

Em 31 de março foi aberto um processo contra a Oracle Corporation por negligência e quebra de contrato por sua suposta falha em proteger adequadamente seus sistemas e notificar os clientes em tempo hábil (veja a íntegra, em PDF).  O processo, de nível federal, foi aberto na corte do Distrito Oeste do Texas e busca status de ação coletiva. Ele tem como alvo as violações de segurança relatadas na Oracle Cloud e na Oracle Health e exige danos, custos e promessas da Oracle para proteger melhor seus clientes, dados e computadores.

Eu fiz um mapeamento dos TTPs baseado no framework Mitre ATT&CK, pois ele é muito útil para entendermos os passos do atacante rumo ao comprometimento e quais as medidas que podem ser tomadas para evitar que isso aconteça e remediar o incidente. Obviamente isso é baseado em muitas suposições, pois os detalhes do ataque não foram compartilhados pelo atacante nem pela Oracle (que continua se fazendo de louca, negando o ataque).

Veja a seguir os principais passos que supostamente aconteceram e a como fica a matriz do Mitre ATT&CK.

Esses foram os prováveis passos do "rose87168" antes e durante o ataque à Oracle Cloud, baseado no pouco que sabemos ou que se especula sobre o incidente:

• Descoberta de uma forma de explorar a vulnerabilidade CVE-2021-35587
• Mapeamento dos servidores Oracle Access Manager vulneráveis a CVE-2021-35587 no serviço Oracle Cloud
• Exploração da vulnerabilidade CVE-2021-35587 nos endpoints da Oracle “login.(region-name).oraclecloud.com”
• Obtenção de acesso com conta privilegiada graças a vulnerabilidade CVE-2021-35587
• Execução de comandos no sistema comprometido (Oracle Access Manager)
• Possível criação de conta local
• Movimentação lateral, buscando servidores com informações sensíveis, incluindo servidores de banco de dados, servidores de gestão de identidade e acesso (IAM), de armazenamento de arquivos e LDAP
• Listagem de dados do servidor LDAP
• Acesso a base de dados da Oracle Cloud
• Extração dos dados (não se sabe como ele exfiltrou essas informações)
• Extorsão :(

Aplicando na Matriz do Mitre ATT&CK baseada nos passos acima, usando a ferramenta ATT&CK Navigador, ficamos assim:

Esse mapeamento nos permite ter uma visão do passo-a-passo de como o incidente ocorreu, além de nos mostrar que há lacunas que precisam ser explicadas para compreendermos esse incidente.

Na quinta-feira repercutiu uma notícia publicada pela Bloomberg na véspera (02/04) dizendo que a Oracle havia admitido, para alguns clientes, que o vazamento ocorreu. A empresa também afirmou que a investigação do caso está nas mãos do FBI e da CrowdStrike:

This week, Oracle staff acknowledged to some clients that an attacker had gotten into what the company called a “legacy environment,” according to the people. The company informed customers that the system hasn’t been in use for eight years and that the stolen client credentials therefore pose little risk, the people said.

Oficialmente, ainda não há uma confirmação pública por parte da Oracle.

Essa falta de posicionamento oficial da Oracle é uma postura lamentável, um triste mal exemplo de como se posicionar frente a um incidente de tamanha severidade. Uma lamentável falta de transparência. Essa postura é amplamente criticada pela comunidade e já gerou comentários tais como:

• "Manifesto Malufista Negar sim, negar sempre, negar como nunca, continuar negando"
• "Time de negação de incidentes apoiado pelo NIST CSF que menciona o seguinte: 'Só sofre incidente quem abre o EDR'."
• "Oracle are attempting to wordsmith statements around Oracle Cloud and use very specific words to avoid responsibility. This is not okay. Oracle need to clearly, openly and publicly communicate what happened, how it impacts customers, and what they’re doing about it. This is a matter of trust and responsibility. Step up, Oracle — or customers should start stepping off." (fonte)

Em uma reportagem de hoje, 09/04, o portal Bleeping Computer notificou que a Oracle enviou uma comunicação oficial confirmando o incidente. Segundo a Oracle, o vazamento ocorreu em "dois servidores obsoletos" e seus servidores da "Oracle Cloud Infrastructure" (OCI) não foram comprometidos e que este incidente não impactou os dados dos clientes nem os serviços em nuvem.

Para saber mais:

• Relatórios da CloudSEK:
• The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants
• Part 2: Validating the Breach Oracle Cloud Denied – CloudSEK’s Follow-Up Analysis
• Ferramenta online: https://exposure.cloudsek.com/oracle
• Oracle Cloud Breach Exploiting CVE-2021-35587: How to Protect Your Organization
• Oracle denies breach after hacker claims theft of 6 million data records
• Oracle Cloud says it's not true someone broke into its login servers and stole data
• There are 10,000 reasons to doubt Oracle Cloud's security breach denial
• Resumo produzido pela Apura: Possível comprometimento da Oracle Cloud preocupa executivos de cibersegurança
• A Zenox produziu um relatório beeeeem detalhado sobre o caso:
• Análise técnica do suposto vazamento que teria comprometido 6 milhões de contas corporativas
• Novos dados do incidente Oracle
• Análise da SOC Radar: Everything You Need to Know About Oracle Cloud Security Incident by rose87168
• Análise da Clavis: Suposto ataque à infraestrutura da Oracle Cloud
• Trustwave SpiderLabs Threat Review: Alleged Oracle Compromise
• Oracle hack: Customers confirm stolen data is real
• Security Firms Say Evidence Seems to Confirm Oracle Cloud Hack
• Oracle customers confirm data stolen in alleged cloud breach is valid
• Suposto hack na Oracle gera polêmica
• Sobre a vulnerabilidade que provavelmente foi explorada para invadir a Oracle (CVE 2021-35587):
• CVE 2021-35587 (NIST)
• CVE 2021-35587 (cve.org)
• Oracle Critical Patch Update Advisory - January 2022
• Reportagem da Tecmundo, que entrevistou o ator Rose87168: ‘Se a Oracle me pagar, teremos um final feliz’, diz hacker que chantageia empresa
• Resumão do Caveiratech: Clientes da Oracle CONFIRMAM dados roubados
• Oracle attempt to hide serious cybersecurity incident from customers in Oracle SaaS service
• Oracle Cloud security SNAFU latest: IT giant accused of pedantry as evidence scrubbed
• Processo aberto contra a Oracle (PDF): Case 1:25-cv-00477 Filed 03/31/25
• Vazamento da Oracle é real e expôs clientes, apontam novos indícios
• Oracle Cloud Users Urged to Take Action
• Hacker linked to Oracle Cloud intrusion threatens to sell stolen data
• Oracle continues to deny breach, tries to hide evidence
• Oracle faces Texas-sized lawsuit over alleged cloud snafu and radio silence
• Oracle Reports Data Breach, Citing Hacker Access to Legacy System
• Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen - matéria relevante da Bloomberg, mas que deixa claro que a Oracle só admitiu o incidente em conversa privada com alguns clientes;
• Oracle Confirms Breach: Hackers Stole Client Login Credentials - triste exemplo de matéria sensacionalista. A Oracle não confirmou oficialmente. A matéria foi escrita no dia 08/04 e cita a reportagem do Bleeping Computer da semana anterior, publicada em 02/04, que diz claramente que a Oracle se manifestou somente em conversa privada com alguns clientes;
• Reportagem que tem um bom resumão de toda a treta: Oracle privately notifies Cloud data breach to customers
• Saiu o posicionamento oficial da Oracle: Oracle says "obsolete servers" hacked, denies cloud breach

PS: Post atualizado em 25, 26, 27 e 28/03, atualizado novamente em 01/04 (não foi piada!), 02, 05, 08/04 e hoje, 09/04.

PS/2: A Oracle precisa se benzer:

• Oracle Health breach compromises patient data at US hospitals :(
• Oracle Health Breach Affects Patients of Multiple U.S. Multiple Hospitals

[Segurança] Cartilha de Cibersegurança para Conselhos de Administração da FIESP

O Departamento de Defesa e Segurança (DESEG) da Federação das Indústrias do Estado de São Paulo (FIESP) acabou de lançar uma cartilha sobre cibersegurança, direcionada a conscientizar e orientar os conselhos de administração das empresas sobre os temas relacionados a cibersegurança e seu papel.

A “1ª Cartilha de Cibersegurança para Conselhos de Administração da FIESP”, com 17 páginas ao todo, aborda de forma clara e objetiva o custo da inação de uma empresa quanto à cibersegurança e à proteção de dados, porque esse tema é de responsabilidade do Conselho de Administração e qual a relevância desse papel ativo para prevenção e garantia de estratégias da empresa à longo prazo. E por fim, a cartilha traz algumas recomendações práticas de como o Conselho pode atuar nesse tema.

A cartilha está disponível para download, gratuitamente, no site da FIESP, e a cerimônia de lançamento da cartilha foi transmitida online, pelo canal da Fiesp no YouTube:

Para saber mais:

• 1ª Cartilha de Cibersegurança para Conselhos de Administração da FIESP
• Workshop - Cibersegurança nos Conselhos: Estratégias para a Alta Administração (YouTube)
• Aqui no blog:
• Sete perguntas fundamentais sobre segurança para o corpo executivo
• Algumas fotos da cerimônia de lançamento da cartilha:

[Carreira] Primeiro CTF exclusivo para mulheres do Hackers do Bem

Anote aí: as inscrições estão abertas para o 1º CTF exclusivo para mulheres promovido pelo Hackers do Bem!!!!

Sim, pouco depois da WOMCY, BSidesSP e Hack in Cariri organizarem um CTF exclusivo para mulheres no Garoa Hacker Clube, o Hackers do Bem também anuncia uma ação semelhante, importantíssima para promovermos maior atração de mulheres para o mercado de cibersegurança.

O Programa Hackers do Bem vai promover nos dias 4 e 5 de abril a sua primeira competição de Capture The Flag (CTF) exclusiva para mulheres. A competição será presencial, na Universidade de São Paulo (USP),  e reunirá participantes em uma disputa de seis horas, desafiando suas habilidades em cibersegurança em um ambiente simulado.

As equipes serão formadas por duas ou três participantes, que enfrentarão desafios que vão desde conceitos básicos até temas como segurança ofensiva, proteção cibernética, forense computacional, engenharia reversa de malware, exploração de binários, criptografia e programação. Será possível formar times no dia do evento.

As cinco melhores equipes serão premiadas com giftcards, totalizando R$ 15 mil em prêmios. O time das vencedoras receberá R$ 5.000, seguido por R$ 4.000 para o segundo lugar, R$ 3.000 para a terceira, R$ 2.000 para a quarta colocada e R$ 1.000 para o time das quinto colocadas.

No dia anterior da competição, será realizado um “Esquenta CTF” para promover um ponto de encontro para mulheres interessadas em cibersegurança, com palestras técnicas e oportunidade de networking.

A iniciativa, promovida pelo Hub do Hackers do Bem, busca apoiar e fortalecer a presença feminina na área, oferecendo conhecimento, colaboração e inspiração por meio da troca de experiência com profissionais consolidadas na área. O CTF reforça o compromisso do Hackers do Bem com a inclusão e capacitação de mulheres na cibersegurança.

O evento conta com o patrocínio do Google, organização do CAIS/RNP e da Poli-USP e o apoio da Comissão Especial de Cibersegurança da SBC (CE-Seg) e da WOMCY (LATAM Women in Cybersecurity). Será realizado pela comunidade Hack in Cariri.

As interessadas podem realizar a pré-inscrição preenchendo um formulário online no site do evento.

O evento é exclusivo para mulheres e as vagas são limitadas!

Anote na sua agenda:

• Esquenta CTF:
• 4 de abril (sexta-feira), das 19h às 21h
• Auditório Prof. Francisco Romeu Landi – Av. Prof. Luciano Gualberto, Travessa 3, nº 380, Cidade Universitária, São Paulo – SP
• Competição:
• 5 de abril (sábado), das 9h às 18h
• Auditório da Engenharia Elétrica USP – Av. Prof. Luciano Gualberto, nº 158, Butantã, São Paulo – SP
• Inscrição gratuita - no site do evento.
• O evento é exclusivo para mulheres!
• Segundo o site do evento, inclui coffee-breaks, um almoço especial e pizza para fechar o dia!
• Aviso: As vagas para o CTF para Elas estão esgotadas devido à alta demanda, então as inscritas entram em uma Fila de Espera. Caso surjam novas vagas, eles entrarão em contato com as inscritas na fila de espera.

Para saber mais:

• 1º Capture The Flag (CTF) Feminino
• Inscrições abertas para o 1º CTF exclusivo para mulheres promovido pelo Hackers do Bem
• Aqui no blog:
• CTF especial no Dia Internacional da Mulher
• Hub Nacional de Cibersegurança - Hackers do Bem

[Comunidade] O Papo Binário está de volta!

Temos uma novidade muito legal: O Papo Binário está de volta!

Durante sete anos os vídeos de entrevistas e opiniões publicados no canal Papo Binário, filhote do portal e da comunidade Mente Binária, foram a melhor referência sobre o mercado e a comunidade de cibersegurança no Brasil. Realizado pelo nosso amado Fernando Mercês, as entrevistas trouxeram grandes profissionais da área.

Até poucos dias atrás, o vídeo mais recente era de novembro de 2023, o episódio 109. Veja a playlist completa aqui, que começa com uma entrevista sensacional de 2016 com o Julio Neves.

Mas, agora, o projeto foi retomado e chegamos ao episódio #110, com um bate-papo com o professor Augusto Manzano, um papo super legal com um dos maiores nomes do ensino de programação do Brasil!

Além disso, a Mente Binária vai começar a fazer lives com profissionais da área, no ritmo de uma live por mês, começando agora em março. Essa iniciativa é o /bin/live, uma live mensal, conduzida por Carlos Cabral, Fernando Mercês e Anchises Moraes com apresentações de profissionais de referência, seguidas de uma entrevista com perguntas da audiência. É como um programa de auditório com palestra, mas no formato live.

O /bin/live é um novo projeto da Mente Binária com o apoio do Google, e o programa de estréia acontece no dia 19 de março às 16:30h. Todo o conteúdo será gravado e disponibilizado como podcasts no YouTube e Spotify.

Não perca nossos encontros mensais!

Anote na sua agenda:

• /bin/live
• Primeira live: 19/03/2025, as 16h30
• Convidado: Cristiano Lincoln, fundador da Tempest
• Transmitida no canal da Mente Binária no YouTube: https://menteb.in/youtube

[Carreira] CodeHers Season 2

A ONG Mente Binária anunciou recentemente a abertura das inscrições para o CodeHERs , o curso de Engenharia Reversa para Mulheres. Ele foi exclusivamente projetado para as mulheres que desejam se aprofundar nesta área fascinante da tecnologia. Este curso online, conduzido pela incrível Thayse Solis via Zoom, oferece uma oportunidade singular para desenvolver habilidades técnicas avançadas, compreender detalhadamente a engenharia reversa e suas aplicações práticas, e se conectar com outras mulheres igualmente apaixonadas pela tecnologia.

Detalhes da segunda turma do "Curso de Engenharia Reversa para Mulheres | CodeHERs - Desvendando a Engenharia Reversa":

• 40 vagas
• 18 horas de treinamento
• Datas: 24, 25, 31 de maio e 01 de junho de 2025
• Horário: Das 9h às 15h no dia 24 e das 9h às 13h nos demais dias
• Formato: Online (via Zoom)
• 100% gratuito
• É necessário se inscrever

O conteúdo aborda desde os fundamentos da Engenharia Reversa, passando pela linguagem Assembly x86-64, até técnicas de disassembly e debugging. O curso é meticulosamente desenhado para fornecer tanto conhecimento teórico quanto prático.

Para participar, deve ser preenchido um questionário de inscrição detalhado. As vagas serão preenchidas por ordem de inscrição, respeitando a distribuição de vagas por região.

Este curso é mais do que uma oportunidade de aprendizado; é um convite para se juntar a uma comunidade de mulheres empoderadas na tecnologia, prontas para descobrir e avançar no campo da Engenharia Reversa. Se você é apaixonada por tecnologia e motivada a desafiar-se e crescer, se inscreva e traga a sua voz.

Para saber mais:

• Página da iniciativa: CodeHERS - Desvendando a Engenharia Reversa
• Link para as inscrições em https://menteb.in/codehers
• Link para a live inaugural de 2024: https://menteb.in/live

[Segurança] Prejuízo com golpes financeiros superou R$ 10 bilhões em 2024

Segundo dados divulgados recentemente pela Febraban (Federação Brasileira de Bancos), o volume de dinheiro perdido com golpes atingiu o número surreal de....

R$ 10,1 bilhões

Isso representou um crescimento de 17% de 2023 para 2024. Em 2023 o prejuízo foi de R$ 8,6 bilhões.

Veja alguns dados apresentados pela Febraban:

• Veja o prejuízo total em 2024 com os 5 golpes mais frequentes e que causaram maior perda financeira:
• Falsa Central: R$ 1,038 bilhões
• Golpe do Whatsapp: R$ 428 milhões
• Falso boleto: R$ 58 milhões
• Falso leilão: R$ 52 milhões
• Golpe do delivery: R$ 15 milhões
• Os crimes mais recorrentes.são a clonagem ou a troca de cartões bancários (44%), golpe da falsa central de cartões (32%) e pedidos de dinheiro por suposto conhecido no WhatsApp (31%);
• Os golpes visando o Pix também estão emalta, com prejuízos acumulados em dois anos de R$ 2,7 bilhões. Em relação a 2023, houve um crescimento de 43% no volume de transações fraudulentas via Pix.

O Ministério da Justiça e Segurança Pública (MJSP) divulgou, durante a celebração de um acordo com a Febraban para criar a Aliança Nacional contra Fraudes Financeiras, que 36% dos brasileiros foram vítimas de golpes ou tentativas de golpe até fevereiro de 2024. Pessoas acima de 60 anos foram as mais vulneráveis.

A Serasa Experian também divulgou números sobre fraudes no Brasil em 2024:

• O número de golpes evitados contra bancos e cartões de crédito cresceram 10,4% em 2024, representando 53,4% das fraudes registradas no período. Caso fossem concretizadas, o prejuízo estimado chegaria a R$ 51,6 bilhões;
• 50,7% dos brasileiros foram vítimas de fraudes no último ano, um salto de 9 pontos percentuais em relação a 2023;
• Desse total, 54,2% das vítimas afirmaram ter perdido dinheiro;
• Os tipos de fraudes mais recorrentes contra os consumidores foram:
• Uso indevido de cartões de crédito: 47,9%
• Golpes financeiros como boletos falsos e fraudes via Pix: 32,8%
• Phishing: 21,6%
• Invasão de contas bancárias ou redes sociais: 19,1%.

Para saber mais:

• Dinheiro perdido pelos brasileiros vítimas de golpes financeiros chegou a R$ 10 bilhões, no ano passado
• Prejuízo com golpe financeiro subiu a mais de R$ 10 bi ano passado, diz Febraban
• Serasa: tentativas de fraudes bancárias sobem 10,4% em 2024 e prejuízo somaria até R$ 51,6 bi
• Fraudômetro (Serasa Experian)
• Ministério da Justiça e Febraban lançam aliança contra fraude digital
• Lewandowski: "Criminalidade digital é alarmante e exige resposta inteligente"

[Cidadania] A Fake News do Pix

Quem diria que uma fake news poderia influenciar um governo a ponto de derrubar uma normativa oficial da Receita Federal?

Pois, a grosso modo, foi isso que aconteceu nos primeiros dias de 2025, após a sociedade perceber que havia entrado em vigor uma normativa da Receita que estendia o monitoramento obrigatório de transações financeiras para transferências de PIX. Isso se aplicaria para transações de cartões de crédito e plataformas de pagamento acima de R$ 5.000 para pessoas físicas e se aplicava para as Fintechs. A medida entrou em vigor em 01 de janeiro e chamou a atenção da imprensa, começou a ser compartilhada nas redes sociais no inicio de 2025 e rapidamente descambou para as fake news.

Graças ao compartilhamento de notícias sobre o monitoramento de transações com o PIX, de repente diversas fake news disseminaram nas redes sociais dizendo que esse monitoramento iria ser usado para supostas novas tributações. A falsa "taxa do Pix" é uma das fake news que mais repercutiram.

Criminosos não perderam temo e, segundo imagens compartilhadas em redes sociais e na imprensa, começaram a enviar supostas cobranças das taxas.

Mas o volume de desinformação e fake news gerados sobre o assunto foi tão grande e criou tanta polêmica, que o governo não conseguiu desmentir e acabou desistindo de aplicar a nova regra de monitoramento das transações.

Segundo um levantamento da CNN, o número de transações via Pix caiu cerca de 15,3% em janeiro na comparação com dezembro, em consequência dessa onda de notícias falsas sobre supostas taxas do PIX. O resultado representa a maior queda para o período desde a implementação do sistema em 2020. Nos primeiros 14 dias de janeiro de 2025, o Sistema de Pagamentos Instantâneos (SPI) do Banco Central contabilizou 2,286 bilhões de operações via Pix ante 2,699 bilhões no mesmo período de dezembro de 2024.

Esse vídeo do Porta dos Fundos (muito divertido, por sinal), comenta sobre a fake news sobre o imposto do PIX a partir dos 5:15:

Para saber mais:

• Receita Federal muda regras do Pix e amplia fiscalização; entenda novidades
• 'Isso não existe e não existirá': Receita Federal desmente taxação do Pix
• Receita Federal alerta: Cuidado com o “Golpe da Cobrança de Taxa sobre PIX”
• É #FAKE que a Receita Federal esteja cobrando imposto do PIX para quem recebe mais de R$ 5 mil; golpe envia boleto falso a vítimas
• O que está por trás da fake do Pix e de outras mentiras sobre a economia
• Receita Federal sempre recebeu dados sobre Pix
• Após repercussão negativa e fake news, governo revoga mudanças no Pix
• Pix: transações têm maior queda para janeiro em meio a onda de fake news
• Relatório do NetLab, da UFRJ: Danos causados pela publicidade enganosa na Meta: Anúncios fraudulentos promovem desinformação sobre o Pix para lesar cidadãos brasileiros

[Carreira] Dia Internacional das Mulheres para as mulheres de cyber

Nesse Dia Internacional das Mulheres, 08 de março, vale destacar algumas ações legais da nossa comunidade para apoiar as mulheres de cyber segurança:

• Lembre-se: temos várias comunidades para apoiar as mulheres que se interessam pela área de tecnologia e/ou segurança, ou que já trabalham nela, como a Womcy, Cyber Security Girls e várias outras. Veja uma lista aqui, nesse meu post: Comunidades de mulheres em tecnologia;
• Hoje é o último dia para indicar uma profissional para a premiação "TOP20 Women to Follow 2025";
• No Garoa Hacker Clube está acontecendo hoje duas atividades para mulheres:
• O primeiro encontro da turma de Python para pessoas usuárias de excel (perdeu o encontro hoje? não se preocupe, participe das próximas datas)
• Uma competição de Capture The Flag (CTF) para mulheres com a WOMCY, em parceria com a comunidade Hack in Cariri e a BSidesSP;
• A ONG Mente Binária acabou de anunciar a segunda turma do Curso de Engenharia Reversa para Mulheres | CodeHERs - Desvendando a Engenharia Reversa. O curso é online e gratuito, oferecendo uma oportunidade singular para desenvolver habilidades técnicas avançadas, compreender detalhadamente a engenharia reversa e suas aplicações práticas, e se conectar com outras mulheres igualmente apaixonadas pela tecnologia. O curso tem 18 horas de duração e acontecerá nos dias 24, 25, 31 de maio e 01 de junho de 2025. Link para as inscrições em menteb.in/codehers

Para saber mais:

• Aqui no blog:
• Comunidades de mulheres em tecnologia
• Quem são as mulheres que te inspiram na tecnologia e cibersegurança?
• CTF especial no Dia Internacional da Mulher
• Dia Internacional das Mulheres: a origem operária do 8 de março

PS: Post atualizado em 10/03 para incluir o artigo sobre a origem da comemoração do Dia Internacional da Mulher, compartilhado pela Marina Ciavata em vários grupos  de Whatsapp <3

[Carreira] Quem são as mulheres que te inspiram na tecnologia e cibersegurança?

Quem são as mulheres que te inspiram na tecnologia e cibersegurança?

A premiação "TOP20 Women to Follow 2025", promovido pela Daryus, está com as indicações abertas! A cada edição, são destacadas 20 profissionais que estão impulsionando o mercado de cibersegurança, governança, privacidade de dados, forense digital e a inovação.

Essa é a sua chance de ajudar a reconhecer mulheres incríveis que estão inovando, liderando e impactando o setor.

Conhece uma profissional que merece destaque? Indique! Também é possível se autoindicar. As indicações vão até o dia 08/03.

Indicar uma profissional é rápido e pode fazer a diferença na carreira de alguém. 

As mais votadas serão convidadas para compartilhar suas histórias em um eBook especial.

Em 2024, o projeto recebeu mais de 500 indicações, refletindo o crescimento da presença feminina na área.

Critérios de seleção:

• Inovação no setor
• Impacto na comunidade
• Liderança inspiradora
• Contribuições para a tecnologia

Indique agora pelo site ou diretamente no link https://forms.office.com/r/0iLNJEDjrz .

Saiba mais sobre o projeto e as eleitas desde 2022 no site TOP20 Women to Follow.

Vamos dar visibilidade às mulheres que estão transformando a tecnologia e a cibersegurança!

Atualização em 27/03/2025: Já saiu o resultado da premiação "TOP20 Women to Follow 2025", com um recorde de mais de 800 indicações. Desculpem o spoiler, mas veja as ganhadoras:

1. Carmina Hissa
2. Fernanda Mara Cruz
3. Taynara Bernardo
4. Bruna Fabiane da Silva
5. Neuza Inada
6. Giselle Oliveira 
7. Paula Acirón
8. Fernanda Oliveira
9. Pollyne Zunino
10. Alyce Suza
11. Mônica Villani
12. Erica Aline
13. Elaine Stoicow
14. Ana Paula Canto
15. Gabriela Salles
16. Myreilla Cruz
17. Renata Almeida
18. Laís Camargo 
19. Lamara Ferreira
20. Liliane Scarpari

Parabéns a todas essas mulheres inspiradoras e todas que foram indicadas. Baixe agora o e-book da edição 2025

 #TOP20WomenToFollow #WomenInTech #Cibersegurança #LiderançaFeminina #MulheresQueInspiram

[Segurança] CTF especial no Dia Internacional da Mulher

Preparadas para um desafio especial nesse Dia Internacional da Mulher?

Neste próximo sábado, 08 de março de 2025, quando comemoramos o Dia Internacional da Mulher, a WOMCY (LATAM Women in Cybersecurity) convida todas as mulheres apaixonadas ou entusiastas por cibersegurança a participarem do 1º Capture The Flag (CTF) exclusivo para mulheres!

O evento super especial é fruto de uma parceria entre a Womcy, a comunidade Hack in Cariri, o Garoa Hacker Clube e a Conferência Security BSides São Paulo (BSidesSP).

Neste desafio, você poderá testar suas habilidades em segurança da informação, resolvendo desafios práticos na plataforma Hack In Cariri.

Como participar?

• O CTF vai acontecer na sede do Garoa Hacker Clube, em Pinheiros, das 15h às 18h
• Inscreva-se em: https://forms.gle/FqXVmMpQEYJ8LsSp7
• Cadastre-se na plataforma da Hack in Cariri (pode ser feito antecipadamente ou no dia do evento)
• O CTF será individual
• Treine online para aprimorar suas habilidades antes da competição.
• Leve seu notebook e prepare-se para a ação! 

Além de muita adrenalina e aprendizado, teremos um happy hour e uma premiação especial para as 3 primeiras colocadas!

Inscrições e mais informações neste formulário.

Mais informações:

• Local: Garoa Hacker Clube (Rua Pascoal Bianco, 48 Pinheiros, São Paulo, SP)
• Horário: 15h às 18h (seguido de happy hour )
• Formato: Presencial e individual, limitado a 20 vagas 
• Iniciativa válida apenas para o Brasil
• É necessário levar o seu próprio computador e ter um navegador para acesso à Internet
• Organização: WOMCY, LATAM Women in Cybersecurity & Hack In Cariri
• Apoio: BSidesSP, Garoa Hacker Clube, Novatec Editora
• Patrocínio: Defcon1, Hacker Rangers Brasil, IAM Tech Day

Essa competição faz parte do calendário de preparação para o CTF oficial da conferência Security BSides São Paulo, que acontecerá nos dias 17 e 18 de maio. 

A propósito, se você quiser aproveitar, no sábado de manhã o Garoa Hacker Clube também promove outra atividade especial para as mulheres, um Python para pessoas usuárias de Excel.

 #WOMCY #CTFWOMCY #CyberSecurity #WomenInCyber #CTF #HackInCariri #BSidesSP