Forte indício: grande vazamento de dados da Netshoes

A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet.

Neste 16/01, o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.

O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: “DFrank”. Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.

Sobre o acesso, “DFrank” se limitou a dizer que “explorou vulnerabilidades na plataforma para acessar os dados”.

Posicionamento da Netshoes

A Netshoes reafirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e segue em constante monitoramento. A Companhia reforça que, a exemplo dos dados divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de cartões de crédito ou senhas de acesso. Como premissa de sua atuação, a Netshoes reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores.

Qual o perigo do vazamento desses dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas por “DFrank” podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite “desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

O seu nome está na lista?

O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:

  • Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
  • Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes
  • Se o seu nome estiver na lista, você pode consultar um advogado. Além disso, é interessante ficar ligado em possíveis golpes de phishing no seu e-mail ou mensageiros.
Fonte: Tecmundo

2018: cada vez mais nas nuvens

A computação em nuvem tem sido o motor para a transformação digital das empresas, de todos os tamanhos e indústrias.

Há alguns anos, não era possível prever que a computação em nuvem atingiria os níveis atuais, ou seja, que 79% das empresas no mundo já executam cargas de trabalho na nuvem — divididas quase que em partes iguais entre nuvens públicas e privadas.

Para analisar as futuras tendências da nuvem, a A10, fornecedora de soluções para otimização do desempenho de aplicações e dados em rede, e ligou seu capacitor de fluxo e acelerou o DeLorean, o carro “De volta para o futuro”, até 88 milhas por hora para ver o que está por vir em 2018:

Surgimento de verdadeiras nuvens híbridas

A possibilidade das empresas de hospedar suas aplicações em diferentes infraestruturas — nuvens públicas, privadas e on premises com ferramentas comuns de orquestração e gerenciamento — é atraente. Multinuvem, com diferentes cargas de trabalho em diferentes nuvens e sendo gerenciadas separadamente, se tornará dominante em 2018, enquanto nuvens híbridas verdadeiras começarão a surgir.

Já existem projetos de tecnologia importantes e parcerias se formando para tornar isso uma realidade. Por exemplo, o Azure e Azure Stack da Microsoft fornecem um conjunto uniforme de recursos de infraestrutura e API em nuvens públicas e privadas; a parceria entre VMware e AWS da Cisco e Google. Esses mashups criam nuvens híbridas que unem realmente os ambientes e melhoram ainda mais a agilidade operacional, eficiência e escalonamento.

Kubernetes dominarão a orquestração de contêineres

A luta pelo domínio da orquestração de contêineres tem sido um dos principais desafios da nuvem nos últimos dois anos. A batalha de três vias entre Docker Swarm, Kubernetes e Mesos tem sido feroz.

Em 2018, no entanto, a Kubernete está preparada para levar o título da orquestração de contêiner e também se tornar cada vez mais importante em implantações de produção escaláveis e de missão crítica. O seu conjunto de colaboradores aliado ao rápido desenvolvimento de capacidades e suporte em muitas plataformas díspares tornaram a empresa um vencedor claro.

Ela conta ainda com a ajuda de amigos de peso: Microsoft Azure e Google Cloud lançaram serviços gerenciados da Kubernetes. A IBM também anunciou que sua nuvem privada suportará Kubernetes na Bluemix; A AWS também está seguindo o mesmo caminho, ao firmar parceria com a Cloud Native Computing Foundation (CNCF) como membro platina.

Todos estes fatores levarão as Kubernets para projetos mais mainstream, com crescimento contínuo de workloads de grande produção.

Analytics com inteligência artificial (IA)

IA está em toda parte. Está em nossos lares com o Amazon Echo, por exemplo. Em 2018, veremos um aumento do uso de Inteligência Artificial incorporada às ferramentas analíticas de TI, tornando a tarefa proativa em vez de reativa.

Por meio de análise preditiva, os gestores de TI e aplicações receberão informações e recomendações úteis. Adicione a isso a capacidade de automatizar sua resposta, e o poder da IA torna-se mais relevante.

Os sistemas de análise terão uma visão do comportamento da infraestrutura, aplicações e clientes. Ele reconhecerá um desempenho anômalo ou comportamento de segurança e quando uma aplicação ou servidor falhará. Uma vez que esse comportamento é notado, a automação pode entrar em ação para remediar um problema potencial, ou seja, ativar outro servidor ou carregar o balanceamento da aplicação. É como se sua infraestrutura pudesse dizer “Alexa, ative outro servidor”.

Adoção de serveless computing

Um dos benefícios da nuvem é a facilidade de uso para aplicar recursos adicionais e seu modelo de consumo de pagamento por uso. Em nenhum lugar isso é mais evidente do que na computação sem servidor (serverless computing). Antes, a unidade para recursos de computação era uma instância ou VM. Agora, uma “função” tornou-se uma unidade ainda menor de “uso”. O fato de gerenciar e expandir os recursos sob demanda no provedor de nuvem é econômico e tira o peso das costas do TI. Os custos com base em um modelo de consumo facilitam a vida em orçamentos apertados.

Já disponível na nuvem pública, para o próximo ano, a computação sem servidor também começará a aparecer em implementações de nuvem privada. Embora não se torne dominante, uma adoção mais ampla acontecerá no curto prazo.

A computação severless, em conjunto com o amadurecimento de nuvem, colocará pressão nos fornecedores de servidores e hardware para transformar seus modelos de negócios afim de manter relevância em um novo mundo virtual, elástico e automatizado da nuvem.

Instâncias de nuvem personalizadas irão proliferar

À medida que a adoção da nuvem cresce, os tipos de instâncias de computação vão tonar-se ainda mais segmentados e otimizados para casos específicos de uso; permitindo melhor desempenho e novas aplicações. Em 2018, veremos o crescimento de instâncias de aplicações especificas dentro da nuvem — desde big data e otimização para IA até redes de alto desempenho e tipos de memória grandes. Aplicações otimizadas que aproveitarem estes pontos, vão começar a surgir.

Por exemplo, no início deste ano, a A10 em parceria com a Microsoft conseguiu entregar 30Gbps com o vThunder na Azure. Isso é uma instância de alta performance. Espere ver mais destes modelos surgindo em 2018.

Previsão Bônus

Adeus às preocupações com segurança na nuvem

A segurança está ausente da nossa lista de previsões da nuvem. Por quê? Simples. É hora de seguir em frente. Sim, a segurança é sempre importante e ainda mais na nuvem. Mas não é mais o obstáculo que era quando a nuvem estava em seus primeiros passos. Ao longo dos anos, a nuvem e os serviços disponíveis nela amadureceram. Há mais segurança integrada. Mais ferramentas estão disponíveis. O compliance chegou à nuvem.

Como toda a TI, é primordial pensar em soluções de segurança, políticas e governança ao implementar cloud ou uma grande mudança de infraestrutura, mas, em 2018, a nuvem não será mais considerada como um ambiente não seguro por padrão.

Conclusão

No mundo da nuvem, as coisas se movem rapidamente. Isso é apenas um snapshot do que achamos que Doc e Marty encontrarão se levarem o DeLorean para o próximo ano. Certamente veremos grandes manchetes sobre uso da nuvem, pois mais pessoas encontrarão maneiras cada vez mais inovadoras de consumi-las.

Fonte: ComputerWorld

WeChat é um perigo: fuja dele!

O que muita gente já suspeitava finalmente foi confirmado no finalzinho desta semana: um dos principais mensageiros instantâneos da China repassa mesmo os seus dados para o governo do país. A descoberta foi feita graças a uma atualização dos termos de privacidade do WeChat.

De acordo com o portal The Next Web, a nova versão do documento deixa claro que o aplicativo pode “reter, preservar e divulgar suas informações pessoas por um longo período de tempo” por conta de uma série de fatores.

Com isso, o serviço pode expor nome, contatos, email e até localização do usuário com terceiros: para cumprir ordens judiciais ou colaborar com pedidos do governo; sempre que a empresa acreditar que alguma lei ou regulação local tiver sido quebrada; e com o objetivo de proteger os direitos e a segurança da empresa, de parceiros ou dos próprios clientes do app.

A suspeita é que, até agora, a Tencent – dona do WeChat – já fazia esse tipo de papel mesmo sem alertar aos internautas, basicamente passando por cima da privacidade alheia para auxiliar as autoridades chinesas na sua luta por manter a internet do país cada vez mais fechada e controlada.

Fica a dica

Enquanto na China os usuários não têm muitas alternativas ao programa, quem mora em outras localidades pelo mundo e se preocupa para a segurança dos seus dados pode preferir a utilização de outros mensageiros no celular.

Fonte: Tecmundo

WhatsApp pode não estar protegendo totalmente os seus dados

Se você tem um smartphone, é bem provável que tenha o WhatsApp instalado. O aplicativo adicionou nos últimos meses a encriptação de ponta a ponta como camada extra (e necessária) para a segurança de seus usuários. Contudo, algumas indicações vazadas na internet mostram que o WhatsApp não está protegendo a sua privacidade de maneira completa: endereços privados de IP são visíveis para servidores externos.

Outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Isso significa que o protocolo fica visível em servidores que não são do WhatsApp. Assim que você compartilha links de outros sites dentro do aplicativo, os servidores e os bots do WhatsApp agem para garantir a integridade dos dados referentes ao link — isso para garantir se o domínio não é falso ou malicioso. Caso você se lembre, quando um link é compartilhado, um “preview” da página é mostrado na tela de conversa, com uma imagem e o título de uma matéria, por exemplo.

O problema acontece nesta tarefa — também chamada de ping, baseado no protocolo ICMP. Ao partir para um domínio fora do WhatsApp, é necessária uma conexão que inclui o IP do usuário. Então, os sites estão conseguindo enxergar este IP privado. Ou seja: servidores de outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Fonte: Tecmundo

Fóruns na dark web negociam dados de usuários

security_riskFuncionários que possuem acesso privilegiado a informações confidenciais estão encontrando compradores para essas informações no submundo da web, segundo um relatório elaborado pelas empresas de segurança RedOwl e IntSights.

Atraídos pela promessa de dinheiro fácil e pela facilidade de execução do golpe, funcionários de bancos e instituições financeiras são recrutados por donos de sites na Dark Web para disponibilizarem dados sensíveis, tais como informações financeiras e meios de acesso a servidores de bancos ou outros ambientes corporativos.

A Dark Web, ou “web obscura”, refere-se a sites que precisam de softwares e autorizações específicas para serem acessados. Seus endereços, ou URLs, normalmente não se encontram em sites de busca e o método de acesso costuma ter proteções para garantir o anonimato dos usuários.

Segundo o relatório, há páginas nesses espaços que se dedicam à monetização da informação privilegiada, mediando o contato entre comprador e vendedor. Os vendedores são funcionários de instituições financeiras ou grandes corporações, e nesses fóruns são chamados de “Insiders”. Criadores de vírus fornecem as ferramentas necessárias para realizar ataques mais sofisticados, sem que seja necessário muito conhecimento do insider. A adesão a esses sites só é permitida àqueles que têm conhecimentos valiosos para oferecer.

O fórum Kick Ass Marketplace, por exemplo, cobra uma taxa de adesão de US$ 820 e o seu proprietário afirma que existem membros do clube que ganham mais de US$ 5.000 por mês negociando dados vazados, tais como números de cartões de crédito roubados. A atividade dos insiders neste fórum movimenta aproximadamente US$ 35.800 por semana.

As transações financeiras normalmente ocorrem por meio de moedas virtuais, como o Bitcoin.

Ainda segundo o relatório, recentemente surgiram sites voltados exclusivamente a informações sensíveis para manipulação do mercado de ações e outros dedicados à venda de acesso a sistemas corporativos e seus recursos,. Outros serviços comercializados incluem acesso ao mercado de câmbio, venda de commodities e até técnicas do tipo “saber antes dos outros o que vai acontecer”.

O fórum “The Stock Insiders”, que é dedicado somente ao comércio de “Insiders”, exibe anúncios solicitando funcionários de empresas conforme o perfil desejado. Em um anúncio, o solicitante buscava por um operador de caixa que trabalhasse em lojas com estoques de iPhones; em outro anúncio, um criminoso solicitava algum funcionário de banco que tivesse acesso ao computador do banco operando em mais alto nível para poder implantar um vírus na rede interna da instituição.

Em outras palavras, o invasor suborna um funcionário do banco para burlar todos mecanismos técnicos de segurança utilizados pela instituição.

A RedOwl acredita que as equipes de gerenciamento de risco precisam criar ativamente programas que lidem com ameaças internas — ou seja, dos próprios funcionários — e não apenas se concentrar em ameaças externas. Segundo a empresa, embora 80% das iniciativas de segurança se concentrem na defesa do perímetro — acessos de fora para dentro –, menos de metade das organizações investem na proteção contra ameaças internas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva

Maioria das VPNs para Android são um risco para o usuário

vpn_the_worstEsteja você tentando aumentar sua privacidade durante a navegação na internet, acessar conteúdos restritos para a sua localização ou então contornar situações como um bloqueio do WhatsApp pela Justiça, é provável que já tenha usado uma VPN. Como supostamente criptografam suas informações e as roteiam para outros países, essas redes parecem ser a solução ideal para situações como as descritas. No entanto, um estudo recente indica que elas podem também representar um risco para os usuários.

Feito com a participação de uma série de pesquisadores de instituições que incluem a Universidade da Califórnia em Berkeley e a CSIRO, uma agência federal australiana, o trabalho analisou quase 300 VPNs para Android e descobriu dados alarmantes sobre elas. De acordo com a pesquisa, nada menos que 84% das redes disponíveis para os dispositivos com o sistema operacional da Google vazam os dados de tráfego das pessoas que as utilizam.

Além disso, 38% das VPN estudadas no Android continham algum tipo de malware ou de anúncio mal-intencionado e 18% simplesmente não contavam com qualquer tipo de encriptação real. Três dos aplicativos (Neopard, Dash VP e DashNet) chegam até a interceptar as informações de tráfego diretamente, permitindo que operadores lessem emails de usuários que abrissem suas contas do Gmail, entre outras atividades nefastas – embora eles alegassem que coletavam esses dados apenas para aumentar a velocidade das conexões.

Questão de confiança

Um dos coautores do estudo, o pesquisador Narseo Vallina-Rodriguez da IMDEA Networks e da ICSI disse não ter ficado surpreso com os resultados. “Para mim, o fato chocante é que as pessoas confiam nesse tipo de tecnologia”, disse o cientista ao site The Verge. Segundo ele, ao instalar esses apps, os usuários estão simplesmente entregando suas conexões, e, se a companhia que a está recebendo não for confiável, pode acabar abusando desse acesso.

Embora a pesquisa tenha se focado em opções de VPNs gratuitas para Android, o estudioso afirma que pagar por um serviço do tipo também não é garantia de que você estará livre desses riscos. Ainda assim, nesses casos a questão é puramente de confiança na companhia que você está pagando, algo similar ao que já acontece normalmente com seus fornecedores de conexão com a internet.

Outro ponto que merece atenção é o fato de o trabalho ter analisado apps no ano passado, alguns dos quais já foram removidos da Google Play Store desde então. Além disso, o estudo não avalia se todas as brechas de segurança encontradas existem por motivos maliciosos ou não. Por fim, a pesquisa também não investigou VPNs para iOS, mas Vallina-Rodriguez diz acreditar que a avaliação mais rígida da App Store provavelmente elimina opções mais suspeitas. Em todo caso, vale o alerta: fique atento à empresa à qual você está confiando sua conexão.

A imagem de abertura deste post traz a lista dos 10 piores apps de VPN para Android no que diz respeito a malwares.

Agradecemos ao Davi e ao Igor pela referência a essa notícia.

Fonte: Tecmundo

App Meitu rouba dados dos smartphones

meituComo todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é uma app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

Fonte: Tecnoblog