Linkedin sofre novo ataque e expõe usuários

linkedin_hackedNesta semana, um hacker colocou à venda um suposto banco de dados com registros de 167 milhões de usuários do LinkedIn. Pelo pacote com IDs, endereços de e-mail e chaves de segurança, o vendedor pedia 5 bitcoins (cerca de US$ 2,2 mil).

Em 2012, a rede social corporativa já havia passado por um vazamento de dados semelhante, que resultou na exposição de 6,5 milhões de registros e senhas de usuários expostos na rede.

Tentativas de contato com o vendedor não surtiram efeito. Porém, os administradores do site LeakedSource, que indexa vazamentos de informações, afirmaram ter uma cópia dos registros e que, possivelmente, tratava-se de algo relacionado ao episódio ocorrido há quatro anos.

Das 167 milhões de contas comprometidas do LinkedIn, incluem 117 milhões de senhas. Agora, a LeakedSource anunciou que conseguiu descriptografá-las e ranqueou as escolhas mais populares de usuários. Resumo? Definitivamente, criar senhas complexas não é muito o forte das pessoas.

A seguir, confira as dez senhas mais populares usadas no LinkedIn. Caso você não tenha trocado a sua ainda, recomenda-se que você faça o quanto antes.

1 – 123456 – 753,305

2- linkedin – 172,523

3 – password – 144,458

4 – 123456789 – 94,314

5 – 12345678 – 63,769

6 – 111111 – 57,210

7 – 1234567 – 49,652

8 – sunshine – 39,118

9 – qwerty – 37,538

10 – 654321 – 33,854

Você pode conferir o ranking completo das senhas mais populares no link.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Falha que afeta 33% dos servidores pode expor dados pessoais

drown_atackComo parte de uma atualização do OpenSSL liberada hoje, foi divulgada uma falha de segurança que afeta servidores que usam SSL e TLS, algumas principais ferramentas de criptografia da internet. Chamada de DROWN, a vulnerabilidade afeta 33% dos servidores, incluindo sites como Yahoo, Alibaba, BuzzFeed e Flickr.

A falha de segurança é semelhante ao Heartbleed, considerada a mais grave da história da internet, embora afete uma porcentagem menor dos servidores. Por meio dela, atacantes podem interceptar comunicações encriptadas de sites HTTPS, potencialmente roubando dados como senhas ou informações de cartões de crédito. A lista dos principais sites vulneráveis pode ser vista aqui.

Segundo o site, um ataque que explore essa vulnerabilidade pode ser realizado em menos de um minuto. Os detalhes técnicos da falha de segurança podem ser vistos por meio desse link (pdf). Para prevenir servidores contra esse ataque, é recomendável desativar o SSLv2 do servidor, e garantir que a chave criptográfica dele não seja compartilhada por outros servidores.

S é de Segurança

Tanto o DROWN quanto o Heartbleed são falhas no protocolo de criptografia OpenSSL, que é usado para garantir o sigilo de informações de boa parte da internet. Esse protocolo permite o uso da encriptação SSL (Secure Sockets Layer), que é responsável pelo “S” de HTTPS.

Comunicações enviadas de e para sites HTTPS são criptografadas. Por esse motivo, mesmo que elas sejam interceptadas, elas não serão inteligíveis ao usuário que as interceptou. As duas falhas, no entanto, permitem que os dados enviados dessa maneira sejam tento interceptados quanto decriptados, comprometendo a segurança da informação.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Falha no Twitter expõe e-mail e telefone de usuários por 24 h

twitterO Twitter admitiu nesta quinta-feira, 18, que uma falha no sistema da rede social deixou dados de milhares de usuários expostos na semana passada. De acordo com a empresa, e-mail e telefone dos usuários foram revelados, sem a permissão destes, por mais de 24 horas.

Todo o problema foi contado pelo responsável da segurança na plataforma, Michael Coates, em um post no blog oficial do Twitter. Coates disse que nenhuma senha foi revelada, mas que informações pessoais ficaram disponíveis, como endereço de e-mail e até o número de telefone celular particular. “Nós notificamos todos os usuários afetados. Então, se você não foi notificado, não foi um dos afetados”, comenta Coates, em seu post.

“Lamentamos o ocorrido. Qualquer usuário que se aproveitou da falha para acessar informações de outra conta será suspensa de maneira permanente”, disse Coates.
No post do Twitter, Coates ainda afirmou que boas medidas para seguranças devem ser tomadas, como o uso de senhas fortes e o uso de verificação de login.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Estadão

MacKeeper sofre ataque e seus usuários são expostos

mckeeper

O MacKeeper é uma suíte de aplicativos que inclui um antivírus e promete melhorar o desempenho do Mac. No entanto, ele é criticado por usar anúncios enganosos do tipo “seu Mac está infectado”, e por deixar o computador mais lento.

Agora, os responsáveis pelo MacKeeper confirmam que uma falha de segurança expôs dados de 13 milhões de clientes. E quem descobriu a brecha nem usava Mac!

O pesquisador de segurança Chris Vickery explica ao Krebs on Security como encontrou 21 GB de dados de usuários do MacKeeper: ele estava navegando pelo Shodan, um motor de busca que indexa praticamente tudo que se conecta à internet, e procurou por servidores abertos a conexões externas.

Vickery encontrou quatro endereços de internet e descobriu que todos eram da Kromtech, empresa que faz o MacKeeper. Após ser avisada, ela fechou o acesso público aos dados e agradeceu ao pesquisador, dizendo que “corrigiu esta falha horas após a descoberta”.

As informações vazadas incluíam nome real, nome de usuário, endereço IP e hashes de senha – onde foi encontrado outro problema de segurança.

Como explica a Forbes, as senhas geralmente são protegidas quando um algoritmo as transforma em uma sequência embaralhada de letras e números (hashes). Se for fácil entender como esse algoritmo funciona, é possível descobrir as senhas.

Aparentemente, o MacKeeper estava usando o algoritmo MD5, que é conhecido por ser fraco: há ferramentas que descobrem senhas simples (como “123456” ou “password”) em questão de segundos. A Kromtech diz que passará a usar o algoritmo SHA512, mais robusto, e também vai resetar as senhas atuais.

Agradecemos ao Davi e ao Domingos, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Falha de segurança na Mozilla expões milhares de e-mails e senhas

cadeado_abertoCerca de 4 mil senhas criptografadas e 76 mil e-mails de usuários ficaram expostos por um mês após uma falha no banco de dados da Rede de Desenvolvedores da Mozilla, a MDN. A notícia foi confirmada pela empresa em um post no próprio blog de segurança, no qual ainda informa que a brecha ficou aberta por 30 dias a partir de 23 de junho.

Segundo o texto, o problema foi descoberto há dez dias, quando um desenvolvedor da própria companhia descobriu que um processo de limpeza de dados estava falhando. Esse erro fez com que as informações acabassem expostas em um servidor público, o que logo foi corrigido.

De acordo com o texto, assinado por dois representantes da Mozilla, nenhuma atividade maliciosa foi detectada no servidor, “mas não temos como garantir que não houve nenhum acesso do tipo”. Ou seja, ainda é possível – e até provável – que esses e-mails e senhas cifradas tenham parado nas mãos de spammers e outros eventuais mal-intencionados.

Apesar de a notícia não ser animadora, o fato de a empresa não armazenar as combinações em plain text (como fazia a Cupid Media) torna as coisas um pouco menos graves. As senhas vazadas no caso da Mozilla eram “salted hashes”, que são as tradicionais hashes – sequências embaralhadas representando as palavras-chaves – complementadas com dados aleatórios. Assim, a tarefa de quem for tentar decifrá-las fica ainda mais complicada.

Para evitar quaisquer problemas, a companhia alterou o salt dessas combinações de forma a impedir que as contas fossem acessadas pelas velhas senhas. Também por isso, a empresa notificou os desenvolvedores afetados, pedindo para que trocassem as próprias palavras-chave da MDN. E como prevenção, no caso de quem também teve o e-mail vazado, a mudança deve se estender inclusive às similares usadas em outros serviços.

Como lembrou o blog NakedSecurity, esta não é a primeira vez que a Mozilla deixa dados de seus usuários expostos. Em 2010, mais de 40 mil contas da loja de add-ons do Firefox tiveram informações divulgadas na internet.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Falha de segurança expõe dados de usuários do Ingresso.com

ingressocomUma grave falha de segurança foi descoberta nos sistemas do Ingresso.com, uma das maiores vendedoras e operadoras de entradas para espetáculos no Brasil. Descoberto pelo desenvolvedor web Marco Agner, o problema permite que terceiros tenham acesso não apenas aos ingressos adquiridos pelos clientes mas também a informações como nome completo, RG e CPF.

A falha pode ser explorada por meio da manipulação simples da URL de um ingresso comprado. Ao modificar um conjunto de números específicos, que designam o evento ao qual o ingresso pertence, é possível ter acesso não apenas a entradas compradas por outras pessoas, mas também às informações pessoais delas

Sendo assim, o usuário acaba vulnerável não apenas ao uso indevido de seus dados, mas também à utilização indevida da entrada que foi adquirida através do Ingresso.com. A um terceiro mal-intencionado, bastaria simplesmente imprimir o documento e apresentá-lo na bilheteria de um show ou cinema, tendo acesso ao evento sem problemas. Isso sem contar as fraudes possibilitadas pelo acesso indevido aos dados.

Agner cita ainda uma segunda falha, que compromete as senhas de acesso dos clientes às contas no serviço. Segundo ele, as informações de segurança dos usuários estão armazenadas nos servidores da Ingresso.com em “plain text”, ou seja, são guardadas de forma não-criptografada e, sendo assim, ficam sujeitas a serem acessadas facilmente em caso de acesso indevido à infraestrutura da empresa.

A divulgação das falhas aconteceu no último sábado (03), após incessantes contatos sem sucesso com a companhia. No post usado para revelar a falha, Agner relata diversas tentativas de comunicação por telefone ou e-mail. Mesmo após a publicação, ele diz ainda não ter sido contatado pela Ingresso.com.

O desenvolvedor conta já ter se deparado com problemas semelhantes no passado, também reportados às empresas responsáveis. “[É] algo simples, [mas] que arrisca grandes negócios e a segurança de seus clientes. [Tais problemas] são mais comuns que o tempo investido em discussões e educação sobre esse tipo de falha”, lamentou Agner em contato com o Canaltech.

Problemas relacionados

O responsável pela descoberta suspeita que as falhas localizadas por ele no início do ano tenham relações com outro problema recente sofrido pelo Ingresso.com. Em março, uma série de e-mails fraudulentos relacionados a um sorteio falso de entradas para a Copa do Mundo foram emitidos a usuários do serviço, contendo inclusive dados pessoais deles.

A fraude levava os clientes a uma página falsa, que imitava a aparência dos serviços da empresa. Lá, o usuário era instruído a baixar um arquivo para concorrer ao ingresso. Tratava-se, porém, de um malware dedicado ao roubo das informações pessoas e bancárias das vítimas.

Agner conta que a criação de um sistema automatizado que se aproveitasse da vulnerabilidade das URLs seria bastante simples para um programador. Um algoritmo, por exemplo, poderia solicitar vários endereços em sequência e armazenar aquelas que contenham um ingresso. O resultado disso seria não apenas um grande repositório de entradas livres para serem utilizadas, mas também a obtenção de um grande número de dados pessoais dos clientes da empresa.

O desenvolvedor cita ainda a existência de um terceiro problema de segurança no Ingresso.com, relacionado ao tratamento indevido de formulários. Segundo ele, esse seria um problema um pouco mais avançado, que não traz a simplicidade apresentada pelo problema nas URLs de ingressos.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Falha no Ingresso.com expõe dados cadastrais

IngressoO site de venda de ingressos Ingresso.com exibiu, ao longo desta sexta-feira (15), informações que aparentemente são de pessoas cadastradas no site. Reclamações sobre o vazamento de dados começaram a aparecer nas redes sociais no início da tarde.

“A Ingresso.com informa que houve uma falha no site e o problema foi solucionado”, respondeu a empresa, às 19h21 desta sexta-feira.

O consumidor Wagner Junior, que teve seus dados e os dados de sua mãe expostos no site, informou às 19h12, que não conseguia acessar seu perfil no Ingresso.com. “Não consigo acessar minha conta, quando consigo entrar na parte do login o site informa que minha conta não existe”, disse o usuário do Rio de Janeiro.

Wagner Junior fez um Registro de Ocorrência na 43ª Delegacia de Polícia do Rio de Janeiro na tarde de hoje e informou que pretende acionar a Ingresso.com. “Tenho mais 15 e-mails de pessoas que tiveram acesso à minha conta. Vamos ver como entrar com um processo conjunto contra a Ingresso.com”, disse.
Conforme alertaram usuários no Twitter, no início da tarde, além de mostrar dados da conta do usuário do site Ingresso.com, era possível visualizar quais foram as últimas compras e até imprimir ingressos.
Os números de CPF e de telefone exibidos nas telas de cadastro são aparentemente verdadeiros. Os números de CPF constam no site da Receita Federal com os mesmos nomes do cadastro do Ingresso.com e os telefones são atendidos por pessoas que confirmam estar cadastradas no site.

Entenda a falha
“Essa é considerada a segunda falha mais comum em sites de internet no ranking mantido pela OWASP, uma organização de especialistas em falhas na web”, afirma o especialista em segurança e colunista do G1, Altieres Rohr.

Conforme explica Rohr, a falha envolve o controle de sessão do site. “Quando fazemos o login em um site, a página atribui ao navegador um código ligado ao usuário, que não pode ser adivinhado. Todas as páginas que dependem do login devem verificar esse código, num processo que é chamado de controle de sessão. A programação do site está com algum defeito que não verifica a presença do código, deixando internautas diretamente logados na conta de outra pessoa”.

Ainda segundo o especialista, mesmo quando há problemas no controle de sessão, um site bem programado deve apresentar um defeito diferente: o de impedir que o usuário faça login na página. “Também faz parte das práticas de programação segura a criação de uma lógica na qual as falhas tenham o menor impacto possível”, afirma.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: G1