Cibersegurança Report #40 – TecMundo

O mensageiro WhatsApp foi um dos personagens da semana na área de segurança digital. O aplicativo Meta funciona em um novo mecanismo de segurança cibernética, mas é considerado inseguro para uso governamental e pode ter seu uso proibido no setor público brasileiro.

Além disso, os últimos dias foram marcados pela publicação de novos golpes em todo o país explorando marcas e eventos populares. Por fim, o hacker responsável pelo vazamento massivo de dados nos EUA foi descoberto e é brasileiro.

As 7 principais notícias de segurança cibernética da semana

1. Hacker que roubou 3 bilhões de dados dos EUA foi descoberto e é brasileiro

Novos detalhes surgiram sobre a fuga de 2,7 mil milhões de números da Segurança Social dos EUA e incluem um detalhe curioso. O grupo cibercriminoso USDoD, que reivindicou o ataque, teria um brasileiro como líder.

Relato de fonte anônima recebido pelo TecMundo indica que o homem de 33 anos ligou Luan BGresidente em Minas Gerais, trabalha desde pelo menos 2017. Já possui um vasto currículo em hacktivismo e invasões para bancos de dados.

Instagram do suspeito. (Imagem: TecMundo/Instagram)Fonte: TecMundo/Instagram

As vítimas conhecidas do grupo incluem a companhia aérea Airbus, a Agência de Proteção Ambiental dos EUA, o programa InfraGard do FBI e o LinkedIn. A CrowdStrike, que denunciou o suspeito, entregou informações relacionadas ao cibercriminoso às autoridades.

2. Órgão do governo federal quer abandonar o WhatsApp na comunicação interna

A Agência Brasileira de Desenvolvimento Industrial (ABDI) quer proibir o uso do WhatsApp como aplicativo de mensagens usado para troca de informações entre seus funcionários. O órgão, ligado ao Ministério da Indústria, considera o app inseguro e não deseja mais fornecer dados à Meta, que também é dona do Facebook e do Instagram.

Dias contados na ABDI? (Imagem: Getty Images)Fonte: GettyImages

O presidente da ABDI, Ricardo Cappelli, tem planos de abrir licitação para contratar empresas nacionais interessadas em fornecer mensageiro personalizado e privado. O plano de longo prazo do executivo é proibir o uso corporativo do WhatsApp entre todos os membros da alta liderança do governo.

3. WhatsApp prepara função para evitar spam de números desconhecidos

Não aguenta mais receber mensagens não solicitadas de pessoas no WhatsApp? O serviço está desenvolvendo um novo recurso de privacidade para combater isso, bloqueando conversas de perfis não incluídos na sua agenda pessoal.

A configuração ainda está em Beta. (Imagem: Wabetainfo/Divulgação)Fonte: WABetaInfo

Por enquanto, a função só foi encontrada em uma versão Beta do mensageiro para Android, mas seu desenvolvimento já parece avançado. O bloqueio funciona, pelo menos inicialmente, se o perfil for desconhecido”exceder um certo volume“de mensagens enviadas dentro de um determinado período, configurando-o como spam.

4. WordPress: milhões de sites foram expostos a graves falhas de segurança

A plataforma de publicação WordPress tinha uma vulnerabilidade de segurança que permitia que invasores permitissem acesso de nível de administrador. Na prática, pessoas mal-intencionadas podem até assumir o controle de milhões de páginas expor.

WordPress é popular em sites de todos os tamanhos. (Imagem: Getty Images)Fonte: GettyImages

O problema estava no plugin LiteSpeed​​Cache, que tinha uma verificação de hash insegura. A falha foi relatada pelo pesquisador John Blackbourn e a equipe responsável pelo plugin já corrigiu a falha com uma atualização lançada no dia 13 de agosto, antes do caso ser divulgado.

A versão corrigida do LiteSpeed ​​​​​​Cache é 6.4.1 — se o seu site for WordPress, certifique-se de que esteja devidamente atualizado.

5. Brechas no Microsoft Teams e no Office no macOS permitem até roubo de dados

O Cisco Talos revelou em relatório uma série de vulnerabilidades em aplicativos da Microsoft para macOS. As plataformas afetadas e consideradas inseguras incluem Equipes Microsoft, OneDrive, Panorama, OneNote, Excel e Palavra.

Segundo o estudo, é possível burlar permissões de segurança no âmbito da Transparência, Consentimento e Controle (TCC) e obter privilégios em apps. No total, são oito vulnerabilidades, que permitem desde roubo de dados até controle remoto de microfone e webcam.

Um MacBook. (Imagem: Getty Images)Fonte: GettyImages

A Microsoft atualizou os aplicativos Teams e OneNote para macOS, mas não considera as falhas tão urgentes quanto relatadas e deixou as demais inalteradas.

6. FlightAware expôs dados de usuários por três anos

O serviço FlightAwareque permite a qualquer pessoa monitorar o tráfego aéreo em todo o mundo em tempo real, expôs os dados pessoais dos usuários por até três anos.

De acordo com um alerta da empresa, ID de usuário, senha e endereço de e-mail registrados estão entre as informações possivelmente vulneráveis, além dos dados pessoais usados ​​para criar uma conta.

O site de rastreamento de voos. (Imagem: FlightAware)Fonte: FlightAware

O “incidente de segurança” só foi identificado agora, mas remonta a 2021 — o que significa que Esses dados provavelmente já circulam há algum tempo. Quem recebe a notificação de violação de dados da FlightAware você receberá um pacote gratuito de proteção de identidade da Equifax por 24 meses.

7. Silvio Santos: golpistas aproveitam morte do apresentador para pedir dinheiro via WhatsApp

A morte de Silvio Santos mobilizou o país no último sábado (17) e também virou isca para golpe no WhatsApp. Cibercriminosos aproveitaram a morte do dono do SBT para tentar arrecadar doações falsas via Pix.

Circularam mensagens da falsa Patrícia Abravanel, filha do empresário, pedindo dinheiro para o funeral de Silvio por supostos problemas de acesso à sua herança.

Kkkkkk tanta vontade de bater no Silvio Santos até a morte, cara pic.twitter.com/DP3G6ZcMsw

-Kevelin Gomes (@kevell1m) 17 de agosto de 2024

Apresentador Celso Portioli confirmou a existência do golpe e alertou os telespectadoresreforçando que a emissora não pediu dinheiro a ninguém.

Estas foram as principais notícias de cibersegurança da semana. Além do golpe envolvendo o apresentador do SBT, uma nova fraude promete produtos agrícolas falsificados e exige atenção.