Search the Community

Organizações estão perdendo milhões de dólares em receita a cada ano devido ao vazamento de códigos de infraestrutura, credenciais e tokens. Um relatório da 1Password aponta que o gerenciamento deficiente desses segredos está tornando mais fácil para os invasores encontrarem seu caminho e, depois que eles entram, ter recompensas grandes. As empresas que experimentaram vazamento de segredos, resultando em prejuízos financeiros, perderam em média US$ 1,2 milhão em receita, diz o estudo. O levantamento feito com 500 empresas de TI e DevOps sobre como lidam com os segredos que alimentam sua infraestrutura digital diz ainda que quatro em cada cinco empresas não estão gerenciando bem seus segredos, o que as deixa vulneráveis a ataques. Por conta disso, 60% das empresas pesquisadas experimentaram vazamento de segredos de algum tipo. Além disso, mais de três em cada quatro funcionários de TI e DevOps ainda têm acesso aos segredos de infraestrutura de seu antigo empregador. A falta de foco na segurança é uma decorrência do aumento do ritmo de entrega de software e a busca por cronogramas acelerados, diz o estudo, o que faz com que os desenvolvedores geralmente sejam forçados a escolher entre velocidade e segurança, deixando os segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados em arquivos de configuração ou próximos ao código-fonte para fácil acesso. Quanto mais fácil for para os desenvolvedores acessar esses segredos, mais fácil será também para os invasores acessá-los. Cerca de 80% das empresas pesquisadas admitem não gerenciar bem seus segredos, e 52% dos funcionários de TI e DevOps admitem que a explosão dos aplicativos em nuvem tornou o gerenciamento de segredos mais difícil. Na falta de uma solução ou estrutura de gerenciamento de segredos dedicada, eles precisam lidar com os segredos de maneira aleatória e ad hoc, gastando cerca de 25 minutos por dia apenas no gerenciamento de segredos a um custo coletivo de US$ 8,5 bilhões por ano.

Um sistema desprotegido por mais de dois anos expôs os dados de clientes da Volkswagen. Segundo o ThreatPost, 3,3 milhões de pessoas, quase todos eles proprietários ou aspirantes a proprietários da marca de luxo Audi da montadora, tiveram informações expostas por conta da falha de segurança. O sistema de um fornecedor foi o causador do vazamento, disse a Volkswagen America, e a violação ocorreu entre agosto de 2019 e maio de 2021. Para mais de 97% dos clientes afetados, informações pessoais incluindo nomes, endereços postais e de e-mail e números de telefone, foram expostas. Alguns compradores ou potenciais compradores foram atingidos com mais força, já que tinham dados mais confidenciais armazenados no servidor com vazamento do fornecedor, incluindo números do seguro social, datas de nascimento e números de carteira de motorista. A Volkswagen disse que ouviu falar pela primeira vez sobre a violação em 10 de março, mas não explicou por que o vazamento continuou até o mês passado. Segundo ThreatPost, o fornecedor demorou dois meses para proteger seu servidor. Também não se sabe se os dados foram baixados por terceiros não autorizados durante os quase dois anos em que permaneceram abertos online. O vazamento expõe os clientes a riscos de fraude devido à violação. Os cibercriminosos podem, inclusive, realizar ataques de phishing ou ransomware a partir desse vazamento

Os pesquisadores da CyberNews descobriram que mais de 29 mil bancos de dados em todo o mundo estão desprotegidos e acessíveis ao público. Segundo eles, cerca de 19 mil terabytes de dados estão expostos a qualquer pessoa. Esses bancos pertencem a organizações que armazenem informações confidenciais, incluindo senhas, nomes de usuário, varreduras de documentos, registros de saúde, detalhes de contas bancárias e cartões de crédito, bem como outros dados essenciais, todos facilmente pesquisáveis e convenientemente armazenados em um só lugar. "Os bancos de dados são um alvo principal para agentes mal-intencionados que desejam explorar sistemas desprotegidos e obter informações lucrativas", diz o CyberNews. Eles explicam ainda que, por estarem desprotegidos, os bancos de dados são facilmente acessados por qualquer pessoa. Por isso, muitas vezes os invasores muitas vezes nem precisam hackeá-los. Essas falhas na segurança de bancos de dados costumam fazer com que centenas de milhões de pessoas tenham suas informações pessoais expostas na Internet, permitindo que atacantes os utilizem para uma variedade de fins maliciosos, incluindo phishing e outros tipos de ataques de engenharia social, bem como roubo de identidade. Para conduzir a investigação, o CyberNews usou um mecanismo de pesquisa especializado para verificar bancos de dados abertos de três dos tipos de banco de dados mais populares: Hadoop, MongoDB e Elasticsearch.

A Força-Tarefa de Ransomware (Ransomware Task Force – RTF), ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais, compartilhou uma estrutura de ações para interromper o modelo de negócios do ransomware. O grupo foi formado no final do ano passado com a proposta de fazer um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. Em relatório divulgado nesta quinta-feira, 29 de abril, o grupo elencou recomendações informadas por uma ampla bancada de especialistas, imediatamente acionáveis, formando uma estrutura para reduzir o empreendimento criminoso chamado ransomware. "Ransomware não é mais apenas um crime financeiro; é um risco urgente à segurança nacional que ameaça escolas, hospitais, empresas e governos em todo o mundo", diz a RTF. Entre as recomendações prioritárias para combater ataques de ransomware estão: Esforços internacionais diplomáticos e policiais coordenados devem priorizar proativamente o ransomware por meio de uma estratégia abrangente e com recursos, incluindo o uso de uma abordagem de incentivo e punição para impedir que os estados-nação forneçam refúgios seguros aos criminosos do ransomware. Os Estados Unidos deveriam liderar pelo exemplo e executar uma campanha anti-ransomware sustentada, agressiva, de todo o governo, impulsionada pela inteligência, coordenada pela Casa Branca. Nos EUA, isso deve incluir o estabelecimento de 1) um Grupo de Trabalho Interagências liderado pelo Conselho de Segurança Nacional em coordenação com o nascente Diretor Nacional de Cibernética; 2) uma Força-Tarefa Conjunta de Ransomware interna do Governo dos Estados Unidos; e 3) um Centro de Foco em Ameaças de Ransomware informal, colaborativo e privado, liderado pelo setor privado. Os governos devem estabelecer fundos de resposta e recuperação cibernética para apoiar a resposta a ransomware e outras atividades de segurança cibernética; exigir que as organizações relatem pagamentos de resgate; e exigir que as organizações considerem alternativas antes de fazer pagamentos. Um esforço coordenado internacionalmente deve desenvolver uma estrutura clara, acessível e amplamente adotada para ajudar as organizações a se prepararem e responderem a ataques de ransomware. Em alguns setores com poucos recursos e mais críticos, incentivos (como redução de multas e financiamento) ou regulamentação podem ser necessários para impulsionar a adoção. O setor de criptomoedas que permite o crime de ransomware deve ser regulamentado de forma mais rigorosa. Os governos devem exigir que as trocas de criptomoedas, quiosques de criptografia e "balcões" de negociação (OTC) cumpram as leis existentes. A RTF diz ainda que essa estrutura estratégica visa ajudar os formuladores de políticas e líderes da indústria a tomarem medidas em nível de sistema, por meio de legislação potencial, financiamento de novos programas ou lançamento de novas colaborações em nível de indústria. "Isso ajudará a comunidade internacional a construir resistência, interromper o modelo de negócios de ransomware e desenvolver resiliência para essa ameaça", diz o relatório. A estrutura foi organizada em torno de quatro objetivos: impedir ataques de ransomware por meio de uma estratégia abrangente coordenada nacional e internacionalmente; interromper o modelo de negócios do ransomware, reduzindo os lucros criminosos; ajudar as organizações a se prepararem para ataques de ransomware; e responder a ataques de ransomware de forma mais eficaz."Será necessário nada menos do que nosso esforço coletivo total para mitigar o flagelo do ransomware", diz a RTF no relatório.

O Facebook lançou, no ano passado, um novo Red Team que tem como objetivo investigar produtos de terceiros cujas fraquezas podem afetar a própria segurança da rede social. O chamado Red Team X trabalha independentemente do Red Team original do Facebook. Segundo reportagem da Wired, a equipe passou o último ano procurando vulnerabilidades nos produtos que a empresa usa, o que poderia tornar toda a Internet mais segura. A maioria das grandes empresas de tecnologia tem um Red Team que atua planejando ataques como atacantes reais fariam para ajudar a evitar invasões em potencial. O Red Team X do Facebook se concentra na avaliação de hardware e software dos quais a rede social depende, mas não desenvolve sozinho. Tudo começou quando o Red Team original do Facebook grupo recebeu, no ano passado, muitos pedidos para pesquisar produtos que estavam fora de seu escopo tradicional. Com o Red Team X, a rede social colocou recursos dedicados para eliminar essas consultas. O objetivo é examinar a segurança de praticamente qualquer coisa que tenha consequências para o Facebook como empresa. O grupo conta com seis hackers de hardware e software com ampla experiência dedicada a essa verificação. Ainda segundo a Wired, em 13 de janeiro, o Red Team X divulgou publicamente uma vulnerabilidade pela primeira vez. Era um problema com o AnyConnect VPN da Cisco, que já foi corrigido. Depois, publicou mais duas vulnerabilidades: um bug da nuvem Amazon Web Services que envolvia o módulo PowerShell de um serviço AWS e duas vulnerabilidades em um controlador de sistema de energia do fabricante de controle industrial Eltek chamado Smartpack R Controller. Veja aqui.

A Microsoft, em parceria com a WOMCY, organização responsável pela capacitação e incentivo a mulheres na área de cibersegurança, lançaram o 'Momentum WOMCY & Microsoft: Porque eu Mereço!', uma iniciativa que selecionará 50 histórias de mulheres inspiradoras que atuam na área de cibersegurança. O objetivo é estimular a presença de mulheres no mercado de tecnologia, e as histórias selecionadas ganharão vouchers de certificação no mundo de Cloud – Microsoft Azure. Para participar, as profissionais devem acessar o link oficial da iniciativa, preencher todas as informações solicitadas até 31 de março, e contar um momento especial que passou em cibersegurança, explicando por que a história deve ser uma das ganhadoras do voucher. As histórias escolhidas por profissionais da Microsoft e WOMCY serão divulgadas no dia 19 de abril, pelas redes sociais da Microsoft e WOMCY. Depois disso, as mulheres selecionadas terão até 10 de dezembro para realizar os exames de certificação. Cada voucher poderá ser utilizado em uma das seguintes certificações: Exam AZ-900: Microsoft Azure Fundamentals, Exam DP-900: Azure Data Fundamentals e Exam AZ-500: Microsoft Azure Security Technologies. Inscreva-se!