05 de março de 2021

Violações de grandes empresas e outros milhões de dados de brasileiros vazados.

wooden judges gavel on table in a courtroom or enforcement office.

O que você vai ler hoje:

[sc name="featured"]

Hacker viola sistemas de mais de 35 grandes empresas usando código aberto

Um pesquisador conseguiu violar os sistemas internos de mais de 35 grandes empresas, incluindo Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber, em um novo ataque à cadeia de suprimentos de software.

O ataque – conduzido pelo white hat Alex Birsan – consistiu em enviar malware para repositórios de código aberto, que, em seguida, foram distribuídos automaticamente para os aplicativos internos da empresa.

Ao contrário dos ataques de typosquatting tradicionais, que dependem de táticas de engenharia social, ou de a vítima digitar o nome de um pacote incorretamente, este, em particular, é mais sofisticado, porque não precisou de ação da vítima.

Na verdade, o ataque só foi possível porque alavancou uma falha de design exclusiva dos ecossistemas de código aberto, chamada por Birsan de “confusão de dependências” (dependency confusion).

A grande sacada de Birsan foi se aproveitar do fato de que vários aplicativos e serviços online apenas modificam projetos de código aberto – em vez de criar códigos do zero -, o que faz com que muitos deles tenham repositórios em comum.

Após entrar em contato com um manifesto .json que alegava que o PayPal recorria a esse recurso, Birsan se perguntou o que aconteceria caso os sistemas da empresa encontrassem, no GitHub, um repositório homônimo, com uma data de atualização mais recente, de forma pública.

Com isso, falsificou uma edição e descobriu que o sistema ignora o pacote customizado armazenado em um servidor fechado e prioriza o que está publicamente disponível no GitHub, possibilitando a contração de um malware, caso a edição seja feita por um agente mal intencionado.

Com isso, Birsan provou que seria capaz de extrair dados de servidores afetados e lucrou cerca de R$ 699 mil em recompensas de bug bounty.

[sc name="crimes_ciberneticos"]

Uma compilação de bilhões de dados de usuários vaza na deep web

Uma “compilação de muitas violações” (COMB) vazou na deep web, de acordo com pesquisadores.

O compilado contém surpreendentes 3,27 bilhões de combinações exclusivas de endereços de e-mail e senhas, roubadas de violações anteriores e incluindo credenciais da Netflix, LinkedIn, dentre outros.

O banco de dados foi tornado público em 2 de fevereiro por um usuário chamado “Singularity0x01", que criou um tópico no popular fórum cibercriminoso RaidForums para postar as credenciais.

Singularity0x01 afirmou que a coleção foi construída em base de uma compilação anterior, que continha 1,4 bilhão de registros, e que a maior parte do conteúdo estava disponível publicamente. O usuário disse ainda que os dados foram apresentados em ordem alfabética e em árvore.

No entanto, alguns usuários tentaram acessar o COMB alegaram que os arquivos estavam corrompidos, que faltavam arquivos, que o número total de credenciais era menor do que o anunciado e que os dados eram de baixa qualidade.

Após investigação, pesquisadores disseram que, na verdade, este parece ser apenas um relançamento de outro vazamento massivo, que ocorreu em 2019, mas repaginado com algumas ferramentas para desduplicação, classificação e análise dos dados, a fim de torná-lo mais fácil de usar.

O que não tira seu valor. Hackers criminosos podem usar os dados para compor ataques de força bruta ou de preenchimento de credenciais, especialmente se os usuários cujos dados foram vazados não tiverem o hábito de utilizar autenticação de dois fatores (MFA) ou de mudar suas senhas periodicamente.

[sc name="cpvideo_fev_21"]

Usuários do Discord são alvo de ataques direcionados e cada vez mais sofisticados

Arquivos maliciosos estão sendo plantados dentro do Discord – plataforma de interação online, majoritariamente utilizado por gamers – a fim de persuadir os usuários a baixarem arquivos com malware, alertam pesquisadores.

De acordo com eles, foram observadas várias campanhas ativas direcionadas ao serviço e com o objetivo de desencadear uma cadeia de infecção composta pelo ransomware Epsilon, por cavalos de Tróia ladrões de dados e pelo criptominer XMRrig.

Os invasores também estão usando o serviço para comunicação de comando e controle (C2), observaram os pesquisadores.

Esses novos ataques geralmente começam com e-mails de spam, nos quais os usuários são enganados pelos modelos de aparência legítima para fazer o download de cargas de infecção. O vetor de ataque usa os serviços Discord para formar uma URL para hospedar arquivos maliciosos e se passar por softwares piratas ou softwares de jogos, usando ícones de arquivos relacionados a jogos para enganar as vítimas, de acordo com as pesquisas.

O objetivo é roubar informações do usuário e/ou hackear servidores do Discord, obtendo acesso a redes relevantes para os cibercriminosos.

Os ataques fazem parte de uma onda crescente que enxerga na crescente adesão à plataforma – associada à pandemia – uma oportunidade promissora de fazer novas vítimas.

[sc name="newsletter"]

ANPD investiga vazamento de dados de 102 milhões de brasileiros

A Autoridade Nacional de Proteção de Dados (ANPD) informou na última semana (11), que iniciou uma investigação sobre o segundo maior vazamento de dados do país no ano.

A investigação refere-se à exposição de dados relativos a mais de 102 milhões de linhas de telefonia móvel, incluindo a do presidente Jair Bolsonaro.

Os dados incluem nomes, números de CPF, minutos gastos em ligações e outros detalhes.

A ANPD afirmou que "está tomando todas as medidas adequadas" para investigar o caso e convocou a Polícia Federal, bem como "a empresa que denunciou o ocorrido e as empresas envolvidas no vazamento". A ideia é que as entidades ajudem a autoridade recém-formada a auxiliar na investigação e na mitigação dos riscos relacionados à violação de dados pessoais de consumidores potencialmente afetados.

A notícia deste vazamento segue um incidente anterior ainda muito comentado, no qual informações de 223 milhões de brasileiros foram expostos e vendidos na deep web. O responsável por este incidente ainda não foi revelado.

Mantenha os dados da sua empresa seguros. Consulte os serviços da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?