Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Campainhas inteligentes que estão sendo vendidas na Amazon e no eBay apresentaram questões de segurança e privacidade. Segundo o Threatpost, 11 campainhas inteligentes possuem vulnerabilidades que podem ser exploradas por invasores para desligar fisicamente os dispositivos.
      As campainhas inteligentes se conectam a um smartphone e alertam os usuários quando alguém se aproxima de sua casa. Elas contêm também imagens de vídeo. Esse tipo de produto tem se tornado cada vez mais popular ao longo dos anos, mas alguns deles possuem uma série de problemas, incluindo políticas de senha fracas, falta de criptografia de dados e coleta excessiva de informações do cliente.
      Pesquisadores analisaram as campainhas inteligentes da Victure; Qihoo 360 e da Accfly, e afirmaram que dois dos dispositivos testados tinham uma vulnerabilidade crítica que poderia permitir que os cibercriminosos roubassem a senha da rede. As falhas também permitiriam a invasão não apenas às campainhas e ao roteador, mas também a quaisquer outros dispositivos inteligentes da casa, como termostato, câmera ou potencialmente até mesmo um laptop.
      O nome e a senha do Wi-Fi doméstico dos clientes não criptografados também poderiam ser acessados por cibercriminosos. Um grande número de campainhas testadas também usou senhas fracas, padrão e fáceis de adivinhar, disseram os pesquisadores. Aqui nós falamos um pouco mais sobre o uso de senhas frágeis e os riscos que isso traz.
      Os pesquisadores descobriram outro dispositivo, comprado no eBay e Amazon sem nenhuma marca clara associada a ele, vulnerável a um exploit crítico chamado KRACK. O ataque KRACK, também conhecido como Ataques de Reinstalação de Chaves, pode causar a perda completa de controle sobre os dados. Para a campainha inteligente, essa vulnerabilidade permite que um invasor quebre a segurança WPA-2 no Wi-Fi doméstico de alguém e, por fim, obtenha acesso à rede. 
      Após a descoberta, a Amazon removeu pelo menos sete listas de produtos, disse o ThreatPost. O eBay, por sua vez, disse que continua facilitando discussões para que as questões possam ser resolvidas pelos fabricantes.
      Os consumidores podem ficar seguros se afastando de marcas desconhecidas e, em vez disso, comprar de marcas confiáveis. Além disso, é sempre bom verificar suas senhas sempre que configuram um novo dispositivo, e garantir que todas as atualizações sejam executadas automaticamente, além de habilitar o Segundo Fator de Autenticação (2FA), se disponível no dispositivo.
    • Depois de analisar senhas que vazaram durante as violações de dados em 2020, a NordPass e parceiros descobriram que as mais comuns são muito fáceis de adivinhar. A lista de senhas detalha quantas vezes ela foi exposta, usada e quanto tempo levaria para quebrá-la. A NordPass também comparou as piores senhas de 2019 e 2020, destacando como suas posições mudaram. De acordo com pesquisas, a maioria das pessoas usa senhas simples e fáceis de lembrar, porque são convenientes. Mas o problema é que a maioria dessas senhas são altamente vulneráveis. 
      Nas 12 categorias das senhas mais populares que a pesquisa descobriu estão palavrões; números sequenciais ou repetidos; combinações com a sequência "Qwerty" do teclado; entretenimento (com personagens de filmes, desenhos, ou nomes de banda); nomes; nome do device; esportes; letras aleatórias; palavras positivas como "iloveyou" ou "love", entre outras; nome de comida; e diversas. Destaque para o uso da palavra "senha" que está na décima colocação mundialmente:

                                                                                                       Fonte: Nordpass
      Nesta terça-feira, divulgamos uma notícia informando que um banco de dados vazado tem oferecido a cibercriminosos o acesso a informações que podem facilitar a invasão a contas do Spotify, isso ocorre muito principalmente ao fato de que o Spotify não oferece 2FA (Segundo Fator de Autenticação) e também por ser comum usuários repetirem senhas em plataformas e serviços, além de utilizarem senhas baseadas em informações pessoais. Por isso, vale a pena verificar a lista completa das senhas consideradas frágeis e, caso sua senha conste nesta lista, reforce.
    • Um banco de dados com 380 milhões de registros, incluindo informações de login e outros dados pessoais, está disponível para cibercriminosos que estão utilizando essas informações para tentar invadir contas do Spotify. Segundo o BleepingComputer, esses registros listados no banco de dados permitiram que os invasores violassem de 300 mil a 350 mil contas da plataforma.
      Durante anos, usuários reclamaram que suas contas do Spotify foram invadidas depois que as senhas foram alteradas. A queixa era que novas listas de reprodução apareciam em seus perfis ou que suas contas familiares tinham estranhos de outros países adicionados.
      Um novo relatório detalha como o banco de dados contendo mais de 380 milhões de registros é usado ativamente para invadir contas do Spotify. Um ataque comum usado para invadir contas ocorre quando os cibercriminosos usam grandes coleções de combinações de nome de usuário/senha que vazaram em violações de segurança anteriores para obter acesso a contas de usuário em outras plataformas online.
      Segundo o BleepingComputer, o VPNMentor lançou um relatório sobre um banco de dados exposto na Internet que continha 300 milhões de combinações de nome de usuário e senha usadas nesse tipo de ataque contra o Spotify. Cada registro contém um nome de login (endereço de e-mail), uma senha e se as credenciais podem acessar uma conta Spotify com sucesso. Não se sabe, contudo, como os 300 milhões de registros foram coletados.
      Vale lembrar que o Spotify não oferece 2FA (Segundo Fator de Autenticação), o que deixa seus usuários mais suscetíveis a ataques como este, que envolvem força bruta. Uma dica para usuários para evitar esse tipo de ataque é não repetir senhas em plataformas e serviços e não utilizar senhas baseadas em informações pessoais, pois isso deixa a conta mais suscetível a esse tipo de ataque. 
    • A Black Friday está chegando nesta sexta-feira, dia 27 de novembro, prometendo descontos e promoções em muitas lojas. Nessa data também é comum nos depararmos com golpes ou fraudes por conta do volume de compras e acesso que os consumidores fazem a sites de comércio eletrônico. Por isso, preparamos aqui algumas dicas para que você não caia no que muita gente chama de "Black Fraude".
      1. Lojas falsas
      Alguns golpistas podem se aproveitar do momento para abrir lojas falsas. Para evitar esse tipo de golpe, é importante verificar se o CNPJ da empresa está ativo por meio do site da Receita Federal e dar aquela olhadinha em sites como Reclame Aqui para consultar a reputação da empresa. O Procon também contém uma lista de sites para serem evitados, vale conferir. 
      Outra maneira de identificar as lojas falsas é pesquisando um pouco mais sobre elas caso você não a conheça. Vale jogar no Google o nome da loja ou até os produtos e o próprio texto de apresentação da marca para validar se é verdadeiro ou se não é cópia de algum outro lugar. No exemplo abaixo, identificamos duas loja com o exato mesmo texto de apresentação na aba "Sobre nós". Os sites, inclusive, têm um design muito parecido:
       


       
      2. Preços (pouco) abaixo do normal
      Algumas ofertas podem conter um preço abaixo do normal, e se você encontrar um produto assim, desconfie. Faça o mesmo procedimento anterior: pesquise um pouco mais sobre a loja e o douro antes de fechar a compra.
      O Google Chrome está oferecendo uma ferramenta do Reclame Aqui que ajuda na identificação de promoções com análise do histórico de preços para saber se aquela oferta é uma oferta mesmo ou se o histórico de preço do produto diz o contrário. Basta instalar a extensão no Chrome e, quando entrar em alguma oferta, clicar no Confie Aqui. 
      3. Mensagens de texto no celular com links
      Mensagens de texto que enviam algum tipo de link ou pedem códigos de verificação são sempre suspeitas em qualquer situação. Golpistas utilizam essa tática para acessar o WhatsApp da vítima, por exemplo, e partir daí extorquir os contatos salvos pedindo dinheiro em nome do dono da conta.
      4. Ofertas tentadoras por e-mail
      Nunca clique nas ofertas por email. Se a oferta for tentadora, vá ao site em questão digitando o endereço no navegador e busque-a.
      5. Anexos ou links suspeitos em e-mails
      Anexos ou links suspeitos podem ser golpes de phishing, direcionando o consumidor a um site malicioso que parece real na hora de fechar uma compra ou enviar uma "promoção". O site é idêntico ao original, mas não é verdadeiro. Toda atenção é pouca. Fique de olho também no nome de domínio do remetente do e-mail para verificar se é oficial mesmo da loja/empresa da qual você está fazendo a compra.
    • Um irlandês de 21 anos confessou ter participado de um esquema de roubo de milhões de dólares em criptomoedas através de SIM-swapping, clonagem do SIM card (chip) de celulares das vítimas. O irlandês foi condenado a pelo menos três anos de prisão. Em maio do ano passado, a gangue, que é formada por oito americanos além do irlandês, foi acusada pelos crimes. 
      De acordo com o blog KrebsOnSecurity, os golpistas teriam sequestrado os números de celulares via clonagem do SIM card. Conor Freeman, de Dublin, participou do roubo de mais de US$ 2 milhões em criptomoedas de diferentes vítimas ao longo de 2018 junto da gangue, conhecida como "The Community".
      Entre os outros oito acusados estão três ex-funcionários de uma empresa de telefonia sem fio que supostamente ajudaram a gangue a sequestrar números de celulares vinculados a seus alvos. Nesse tipo de golpe, os golpistas subornam ou enganam vendedores dos aparelhos celulares e tomam o controle do número do aparelho da vítima. Assim, eles conseguem desviar todo o conteúdo de mensagens e ligações para seus próprios aparelhos, trocando senhas para outras contas vinculadas ao número invadido, mesmo protegidas por autenticação de dois fatores (2FA).
      O Irish Times revelou que o juiz do caso insistiu que a sentença de três anos era garantida a fim de dissuadir o réu e impedir que outros seguissem seus passos. 
    • Cibercriminosos estão varrendo a Internet em busca de vulnerabilidades conhecidas para construção de temas no WordPress. Segundo informações de pesquisadores do Wordfence Threat Intelligence obtidas pelo ThreatPost, sites WordPress usando temas Epsilon Framework com bugs estão sendo caçados por esses criminosos. Mais de 7,5 milhões de sondagens direcionadas a essas vulnerabilidades foram observadas. Basicamente, os cibercriminosos estão procurando por sites que se esqueceram de instalar as atualizações mais recentes do tema. 
      Os problemas em questão são bugs de injeção de função, afetando cerca de 150 mil sites. O Epsilon serve como base para vários temas WordPress e recentemente diversos bugs corrigidos recentemente no framework podem ser encadeados para permitir a execução remota de código (RCE) e controle de sites.
      As falhas de segurança em sites WordPress em temas que usam o Epsilon Framework são apenas um exemplo dos riscos de segurança inerentes a este sistema de gerenciamento de conteúdo. Outra falha diz respeito ao Shadow Code introduzido por meio de plug-ins e estruturas de terceiros, que expande amplamente a superfície de ataque para sites WordPress. Para evitar problemas, os proprietários de sites precisam estar atentos a plug-ins e estruturas de terceiros e ficar em dia com as atualizações de segurança. 
      Os ataques são essencialmente de sondagem, projetados para determinar se um site tem um tema vulnerável instalado. Aparentemente, a exploração ainda não está em um estado maduro. 
      O WordPress suporta até um terço de todos os sites na Internet, incluindo alguns dos sites de maior tráfego e uma grande porcentagem de sites de comércio eletrônico, portanto, a segurança deve ser a principal preocupação das organizações que utilizam o sistema, mantendo os plug-ins e software atualizados e corrigidos. 
       
    • Uma vulnerabilidade no aplicativo de conferência Webex da Cisco pode permitir que um participante atue como um "fantasma" em reuniões, espionando seus conteúdos. A falha CVE-2020-3419 permite que invasores entrem nas reuniões, no entanto, eles precisam de acesso para ingressar, incluindo links e senhas aplicáveis. Segundo o ThreatPost, por esse motivo, a falha é considerada apenas de gravidade média pela Cisco, que já fez as devidas correções.
      Ao conseguir acesso à reunião, um invasor pode explorar a falha enviando solicitações elaboradas para um site vulnerável do Cisco Webex Meetings ou do Cisco Webex Meetings Server, explorando essa vulnerabilidade para ingressar em reuniões sem aparecer na lista de participantes. “Com essa falha, um fantasma poderia ficar em uma reunião sem ser visto pelos outros, mesmo depois de ser expulso pelo anfitrião, o que torna essa prática especialmente problemática”, disseram pesquisadores da IBM, que atuou junto à Cisco para combater o problema.
      A vulnerabilidade se deve ao manuseio incorreto de tokens de autenticação por um site do Webex vulnerável, afetando todos os sites Cisco Webex Meetings antes de 17 de novembro de 2020; e todos os aplicativos Cisco Webex Meetings com a versão 40.10.9 e anteriores para iOS e Android. A falha também afeta os lançamentos do Cisco Webex Meetings Server 3.0MR Security Patch 4 e anteriores, e 4.0MR3 Security Patch 3 e anteriores.
      Duas outras falhas no Cisco Webex também foram descobertas por pesquisadores da IBM, incluindo a CVE-2020-3441, que permite que um invasor remoto não autenticado visualize informações confidenciais do Webex no lobby da sala de reunião, e a CVE-2020-3471, que permite que invasores mantenham a conexão de áudio de uma sessão Webex mesmo sendo expulsos.
      Usuários devem atualizar para a versão mais recente do Webex imediatamente para garantir que estejam protegidos contra essas vulnerabilidades.
       
×
×
  • Criar Novo...