26 de março de 2021

Ataques tendo como motivação a pandemia do COVID-19 continuam a se espalhar pelo mundo. Clubhouse talvez não seja tão seguro assim

vazamento de áudios

[sc name="featured"]

O que você vai ler hoje:

[sc name="feature_video_mar_2021"]

Laboratório de Oxford que conduz pesquisas sobre o coronavírus sofre ciberataque

Um laboratório da Universidade de Oxford que conduz pesquisas sobre o novo coronavírus foi comprometido por ciberataques.

A universidade, uma das instituições de ensino mais proeminentes do Reino Unido, foi informada da violação de segurança na quinta-feira (25) e confirmou que um incidente ocorreu no laboratório da Divisão de Biologia Estrutural, conhecido como "Strubi", depois de a revista Forbes revelar que hackers estavam se gabando de ter acesso aos sistemas da universidade.

Os laboratórios da Strubi são usados ​​por alunos que estudam ciências moleculares e biológicas e, durante a pandemia do COVID-19, a equipe de Oxford utilizou-o para pesquisar o vírus e examinar vacinas preventivas.

De acordo com diagnóstico, as "máquinas de preparação bioquímica" do laboratório foram comprometidas por invasores desconhecidos, que se gabaram, em fóruns da deep web, de sua invasão a “equipamentos de laboratório, bombas e ferramentas de pressão” na tentativa de vender acesso aos sistemas de suas vítimas.

Porém, os ciberataques não parecem ter comprometido nenhum sistema relacionado aos dados ou registros de pacientes.

[sc name="campanha_anpd"]

Site indiano expõe dados sobre testes de COVID-19

Outro erro humano  – desta vez uma falha no site de um departamento de saúde no estado de Bengala, Índia – expôs os resultados confidenciais de testes do COVID-19, bem como informações de identificação pessoal (PII) para a população de uma região inteira da Índia.

Os resultados dos testes relacionados a mais de 8 milhões de pessoas foram potencialmente expostos antes que a agência responsável corrigisse o erro, de acordo com um pesquisador de segurança.

Sourajeet Majumder, o adolescente hacker white hat responsável pela descoberta, notou uma falha na estrutura de uma URL em um texto com informações sobre o resultado do teste realizado pelas autoridades de saúde de Bengala. O erro acabou sendo rastreado até um ponto defeituoso no Departamento de Saúde e Bem-Estar da Família do estado de Bengala Ocidental.

Cada registro médico exposto online continha informações relativas ao nome do paciente, idade, gênero, endereço residencial parcial, resultado do teste de COVID-19, data do teste, identificador do relatório e até mesmo detalhes de identificação do laboratório onde o teste foi realizado.

O pesquisador disse, ainda, que tentou entrar em contato com a secretaria de saúde sobre o vazamento, mas não conseguiu. Majumder também revelou sua descoberta a um jornal regional na Índia, que publicou um relatório na terça-feira (23).

Desde então, o erro foi corrigido e não é mais possível acessar relatórios.

Leia também:

Cybercrime-as-service pode permitir ataques nacionais sem consequências

As operações de hacking cibercriminoso são, hoje, tão evoluídas que Estados-nação passaram a explorá-las para realizar ataques a outros países, na tentativa de manter seu envolvimento oculto.

Um relatório de pesquisadores de segurança cibernética da BlackBerry alerta que o surgimento de esquemas sofisticados de “cybercrime-as-service” significa que cada vez mais os Estados têm a opção de trabalhar com grupos cibercriminosos que podem realizar ataques em seu lugar.

Esse serviço fornece operações maliciosas como phishing, malware ou violação de redes, e é remunerada em base do sucesso das ações, enquanto o Estado que ordenou a operação recebe as informações ou o acesso de que necessita sem quaisquer indícios de seu envolvimento no processo.

Dessa forma, não apenas o Estado-nação cliente acaba obtendo o acesso necessário a redes hackeadas ou informações confidenciais, mas também permite que tudo seja feito com uma chance reduzida de ser vinculado aos verdadeiros responsáveis pelos ataques  – o que, potencialmente, evitará consequências ou alguma condenação pela realização de ações cibercriminosas para os Estados.

[sc name="newsletter"]

Após vazamento de áudios, aplicativo Clubhouse pode não ser tão seguro quanto promete

Um usuário não-identificado foi capaz de transmitir feeds de áudio do Clubhouse, oriundos de “várias salas”, para sites de terceiros.

Embora a empresa diga que o usuário foi “banido permanentemente” e que foram instaladas novas alternativas de segurança para evitar que isso aconteça de novo, pesquisadores afirmam que a plataforma pode não estar em posição de fazer tais promessas.

“Os usuários do aplicativo devem presumir que todas as conversas estão sendo gravadas”, disse o centro de pesquisa Stanford Internet Observatory (SIO), que foi o primeiro a levantar questões de segurança relativas ao Clubhouse.

O diretor do SIO e sua equipe também confirmaram que o Clubhouse depende de uma startup sediada em Xangai, chamada Agora Inc., para lidar com muitas de suas operações de back-end. Embora o Clubhouse seja responsável pela experiência do usuário, como adicionar novos amigos e encontrar salas de bate-papo, a plataforma depende da empresa chinesa para processar seu tráfego de dados e produção de áudio, disseram.

A dependência do Clubhouse em relação à Agora levanta muitas preocupações de privacidade, especialmente para os cidadãos chineses e dissidentes, sob a impressão de que suas conversas estão fora do alcance da vigilância estatal.

Além disso, recentemente especialistas em segurança cibernética notaram que áudios e metadados estavam sendo transferidos do Clubhouse para outro site.

Embora o Clubhouse não tenha explicado quais medidas foram tomadas para evitar uma violação semelhante à da extração de áudios, as soluções podem incluir impedir o uso de aplicativos de terceiros para acessar o áudio das salas de bate-papo, ou simplesmente limitar o número de salas que um usuário pode entrar simultaneamente, disse um pesquisador do SIO.

Ainda assim, é preciso ficar de olho para ter a certeza de que, caso ataques à popular plataforma evoluam, o Clubhouse tenha estrutura suficiente para evoluir suas medidas de segurança paralelamente.

Mantenha seus dispositivos seguros. Consulte os serviços da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?