Consumidores estão dispostos a ceder seus dados, desde que a sua empresa faça bom uso deles e seja transparente a respeito de sua utilização.
É uma boa notícia, mas reforça a necessidade de se investir na proteção desses dados – especialmente diante de ataques crescentes que exploram vulnerabilidades básicas.
O que você vai ler hoje:
- Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp
- Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido
- Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021
- Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites
- Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados
Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp
O Facebook lançou uma nova página, onde pretende listar todas as vulnerabilidades já identificadas e corrigidas no WhatsApp, seu serviço de mensagens instantâneas.
O fabricante do aplicativo publica regularmente notas de atualização nas páginas do iOS e da Google Play Store; no entanto, esses registros de alterações não fornecem descrições detalhadas dos bugs de segurança corrigidos, muitos dos quais são descritos apenas como "correções de segurança".
O Facebook alega que isso acontece "devido às políticas e práticas das lojas de aplicativos", e espera que a nova página funcione efetivamente como um changelog focado em segurança para usuários interessados.
Os detalhes que serão listados na nova página incluirão uma breve descrição do bug e um identificador de Common Vulnerabilities and Exposures (CVE), quando possível.
Os números CVE são destinados a pesquisadores de segurança que desejam rastrear bugs ou a empresas de segurança que desejam emitir alertas de segurança para seus próprios clientes.
O Facebook ainda disse que todas as vulnerabilidades listadas no site são bugs que foram corrigidos recentemente, e a nova página deve servir de exemplo e alertar porque os usuários precisam manter o aplicativo WhatsApp sempre atualizado para evitar ataques futuros.
Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido
Uma operação de hacking direcionada a organizações de tecnologia financeira (fintechs) tem utilizado uma versão recentemente desenvolvida do malware Trojan para roubar endereços de e-mail, senhas e outras informações corporativas confidenciais.
Conhecido como Evilnum, o grupo de “ameaça persistente avançada” (Advanced Persistent Threat, ou APT) surgiu pela primeira vez em 2018. Uma das razões para seu sucesso é a frequência com que eles mudam de ferramentas e estratégia de ataque ao mirar em alvos relacionados a Fintechs, localizadas principalmente na Europa e no Reino Unido , mas com vítimas também nas Américas e na Austrália.
Nas últimas semanas, o grupo tem usado um Trojan de acesso remoto (RAT) com script Python, em uma nova onda de ataques direcionados.
Descoberto por pesquisadores de segurança cibernética, que o apelidaram de PyVil RAT, o malware permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, tendo também a capacidade de coletar informações sobre o sistema infectado – incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.
Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques e a maneira como eles constantemente mudam suas táticas levam os pesquisadores a acreditar que se trata de uma campanha altamente profissional e com bons recursos, que representam alto risco para as fintechs ao redor do mundo.
Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021
A Apple anunciou, oficialmente, que vai postergar a implementação das novas medidas de privacidade do iOS 14 até o início de 2021, para dar aos anunciantes e editores de aplicativos móveis mais tempo para se preparar.
A mudança foi simples, mas com um enorme impacto: implementar um “opt-in” no IDFA.
O IDFA é o identificador da Apple para anunciantes. É mais comumente usado como um dashboard de resultados de marketing, mas também pode ser explorado de forma a violar a privacidade.
Portanto, no iOS 14, a Apple planeja exigir que os desenvolvedores peçam permissão para usar o IDFA toda vez que baixarem um aplicativo. Em outras palavras, é a transição do opt-out – com a maioria das pessoas nem mesmo sabendo que isso existia – para o opt-in, com todos sendo solicitados a ter permissão sempre que instalarem um aplicativo.
“No iOS 14, iPadOS 14 e tvOS 14, os aplicativos serão obrigados a receber permissão do usuário para rastrear dados em aplicativos ou sites de propriedade de outras empresas ou para acessar o identificador de publicidade do dispositivo”, anunciou a Apple em uma atualização de desenvolvedor.
“Estamos empenhados em garantir que os usuários possam escolher se permitem ou não que um aplicativo os rastreie. Para dar aos desenvolvedores tempo para fazer as mudanças necessárias, os aplicativos serão obrigados a obter permissão para rastrear usuários a partir do início do próximo ano. Mais informações, incluindo uma atualização das Diretrizes de Revisão da App Store, serão divulgadas neste outono.”
Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites
Os desenvolvedores do plugin WordPress File Manager corrigiram, recentemente, um problema de segurança explorado ativamente, permitindo o sequestro total do site de seus usuários – mas não antes de que milhares de ataques fossem realizados explorando essa vulnerabilidade.
De acordo com a equipe de segurança “Sucuri WordPress”, a vulnerabilidade surgiu na versão 6.4 do software, que é usado como alternativa ao FTP para o gerenciamento de transferências, cópias, exclusões e uploads de arquivos.
Na versão 6.4, lançada em 5 de maio, um arquivo foi renomeado no plugin, que conta com mais de 700.000 instalações ativas, para fins de desenvolvimento e teste. No entanto, em vez de ser mantido como uma alteração local, o arquivo renomeado foi adicionado acidentalmente ao projeto, criando uma abertura para exploração de agentes mal-intencionados.
O script em questão concedia aos usuários privilégios como modificar, enviar e excluir arquivos. A solução para esta vulnerabilidade, incluída na versão 6.9, é bastante simples: simplesmente exclua o arquivo – que nunca fez parte da funcionalidade do plugin.
No entanto, uma semana antes de o arquivo ser removido, um código de Prova de Conceito (PoC) foi lançado no repositório de código GitHub, levando a uma onda de ataques contra sites antes da versão 6.9 ser disponibilizada.
O primeiro ataque foi detectado em 31 de agosto, um dia antes do lançamento de uma versão corrigida do gerenciador. Depois, cresceu para cerca de 1.500 ataques por hora e, um dia depois, para uma média de 2.5000 ataques a cada 60 minutos. Em 2 de setembro, a equipe viu cerca de 10.000 ataques por hora.
Embora a vulnerabilidade já tenha sido resolvida, apenas 6,8% dos sites WordPress foram atualizados para a nova versão corrigida do plugin, deixando muitos sites vulneráveis. Um erro básico, que pode custar muito caro.
Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados
Uma plataforma de personalização baseada em Inteligência Artificial, a Formation.ai, entrevistou mais de 2.000 clientes dos EUA no primeiro trimestre de 2020 a respeito de seus sentimentos em relação à concessão de dados por fidelidade à marca.
Em um relatório exclusivo, a empresa mostra que a personalização é fundamental para ganhar a lealdade do consumidor no mercado competitivo de hoje. Mas essa personalização só é possível com um bom aproveitamento de dados cedidos pelo consumidor.
Quase quatro entre cinco (79%) dos consumidores concordam que quanto mais táticas de personalização uma marca usa, mais eles são leais a ela. Mas, para 77% dos consumidores, as empresas não estão fazendo o suficiente para conquistar essa fidelidade.
O relatório descobriu que mais de quatro entre cinco (81%) dos consumidores estão dispostos a compartilhar informações pessoais básicas para personalização e que 83% dos consumidores estão mais dispostos a compartilhar dados se a marca for transparente sobre como eles serão usados.
Em contrapartida, apenas um em cada cinco (20%) consumidores sente que recebe e-mails de marketing que de fato apresentam conteúdo relevante para seu estilo de vida, interesses ou compras anteriores específicas.
De modo geral, a pesquisa aponta que as pessoas estão cada vez mais receosas de colocar sua privacidade em risco, e exigem saber como seus dados são usados.
Por outro lado, as empresas precisam ser mais transparentes na forma como usam os dados de seus clientes – sejam eles quais forem – para evitar tanto mensagens ultra-direcionadas, que faz com que o consumidor sinta que está sendo observado, quanto mensagens superficiais demais, com as quais o consumidor não se identifica.
Saiba como atender às normas da Lei Geral de Proteção de Dados no Brasil e se assegure de que sua empresa utiliza os dados de seus clientes da melhor forma.