Falha no Twitter expõe 330 milhões de usuários – o que fazer

O Twitter pediu nos últimos dias aos seus mais de 330 milhões de usuários que mudem suas senhas na rede social, depois que uma falha fez com que algumas delas fossem armazenadas em texto em seu sistema interno de computadores.

A rede social disse que consertou a falha e que uma investigação interna não encontrou senhas que foram roubadas ou usadas por pessoas de dentro, mas pediu a todos os usuários que considerem a mudança de suas senhas por cautela.

O blog da rede social não informou quantas senhas foram afetadas. Mas uma pessoa familiarizada com o assunto disse que o número era substancial e que eles foram expostos por vários meses.

O Twitter descobriu a falha há algumas semanas e informou reguladores, disse a pessoa, que não estava autorizada a discutir o assunto.

A empresa aconselhou os usuários a tomarem precauções para garantir que suas contas fiquem seguras, incluindo a alteração de senhas e a ativação do serviço de autenticação em dois fatores, para ajudar a impedir que contas sejam sequestradas.

A divulgação acontece no momento em que legisladores e reguladores de todo o mundo analisam a forma como as empresas armazenam e protegem os dados dos consumidores, depois de uma série de incidentes de segurança que surgiram em empresas como Equifax, Facebook e Uber.

A União Europeia deve começar a aplicar uma nova lei de privacidade restrita, conhecida como o Regulamento Geral de Proteção de Dados (GDPR), que inclui altas taxas por violar seus termos.

A falha no Twitter está relacionada ao uso por parte da empresa de uma tecnologia conhecida como “hashing”, que mascara as senhas quando um usuário as digita, substituindo-as por números e letras, de acordo com o blog.

Um bug fez com que as senhas fossem escritas em um log interno do computador antes que o processo de hashing fosse concluído.

“Lamentamos muito que isso tenha acontecido. Reconhecemos e valorizamos a confiança depositada em você e estamos comprometidos em ganhar essa confiança todos os dias”, afirmou o Twitter em seu blog.

As ações do Twitter caíram 0,39% nesta quinta, cotadas a US$ 30,67.

Recomendações do Twitter

– Se você usa a mesma senha do Twitter em outros sites ou redes sociais deve trocá-la
– Use uma senha que você não usa em outros locais
– Ative a verificação do login. Também chamada de de autenticação de dois fatores
– Use um gerenciador de senha para garantir senhas fortes (não óbvias e que misturam letras, números e caracteres especiais)

Fonte: Folha

Microsoft encara problemas com processadores AMD após atualização

Os processadores da AMD não são afetados pela falha de CPU Meltdown, que vem tomando as manchetes desde a última semana, mas a solução para o problema aparentemente pode deixar de joelhos algumas CPUs da fabricante. A Microsoft inclusive interrompeu a oferta do patch de segurança para o Windows para alguns sistemas da AMD após relatos de PCs com problemas para inicializar.

“Após investigar, a Microsoft determinou que alguns chipsets da AMD não correspondem aos documentos enviados anteriormente para a Microsoft para desenvolver as mitigações do Windows para proteção contra as vulnerabilidades de chipset conhecidas como Spectre e Meltdown”, afirma a empresa de Redmond em um aviso de segurança.

“Para evitar que os usuários da AMD entrem em um estado de não inicialização das máquinas, a Microsoft vai interromper temporariamente neste momento o envio os updates de sistema do Windows para os dispositivos com os processadores da AMD impactados.”

No entanto, a Microsoft não especifica quais CPUs da AMD são vulneráveis ao erro em questão. A CSO dos EUA informa que boa parte dos relatos em fóruns on-line sobre o problema são relacionados a chips mais antigos como Athlon e Sempron, sendo que o maior tópico sobre o assunto conta com mais de 160 respostas e mais de 800 votos para “Eu tenho a mesma pergunta”.

A AMD e a Microsoft estão trabalhando para resolver o problema. As atualizações de segurança para os computadores afetados voltarão a ser distribuídas após a questão ser resolvida. Caso o seu PC AMD não inicialize mais depois da instalação do patch de emergência liberado na última semana, a Microsoft diz que seus guias para resolução de erros de tela azul no Windows 7, 8 e 10 podem ajudar.

Mesmo que você não possa instalar o patch para o Meltdown neste momento, é muito importante atualizar o seu navegador o quanto antes. Firefox, Chrome, IE e Edge receberam updates com proteções iniciais contra a falha Spectre – um problema separado do Meltdown e desses patches com bugs para o Windows. Os chips da AMD são suscetíveis ao Spectre.

Fonte: IDG Now!

Como proteger seu PC da falha de processadores da Intel

Duas falhas sérias de CPU reveladas nesta semana podem ter sérias ramificações para os usuários de PCs. As vulnerabilidades Meltdown e Spectre permitem que invasores acessem informações protegidas na memória kernel do seu computador, revelando potencialmente detalhes sensíveis como senhas, chaves criptográficas, fotos pessoais, e-mails e qualquer outra coisa armazenada na máquina. É uma falha realmente séria. Felizmente, as fabricantes de CPUs e sistemas liberaram patches de segurança rapidamente, e você pode proteger o seu PC das vulnerabilidades até certo ponto.

No entanto, não é algo rápido e simples. Elas são duas falhas muito diferentes que tocam em todas as partes do seu sistema, desde o hardware até o software e o sistema operacional em si.

Cortamos os termos técnicos para explicar o que você precisa saber em uma linguagem clara e simples. Também criamos uma visão geral sobre como a Spectre pode afetar smartphones e tablets. Mas o guia que você está lendo é focado apenas em proteger seu computador contra as falhas em questão.

Como proteger seu PC

Veja abaixo uma check-list passo a passo, seguida pelo processo completo de cada um.

-Atualize seu sistema operacional

-Verifique por atualizações de firmware

-Atualize seu navegador

-Mantenha seu antivírus ativo.

Primeiro e mais importante de tudo: atualize o seu sistema agora

A falha mais severa, a Meltdown, afeta “efetivamente todo processador Intel desde 1995”, segundo os pesquisadores de segurança do Google que descobriram o problema. É uma falha com o hardware em si, mas as principais fabricantes de sistemas liberaram atualizações que protegem o sistema contra a Meltdown.

A Microsoft soltou um patch de emergência para o Windows em 3 de janeiro. Caso não tenha atualizado seu PC automaticamente, vá em Iniciar > Configurações > Update e Segurança > Windows Update, e então clique no botão Verificar Agora (Check Now) em Update Status. O sistema deve detectar a atualização disponível e iniciar o download. Instale o update assim que terminar de baixá-lo.

Caso não o encontre por qualquer razão, você pode baixar o patch Windows 10 KB4056892 diretamente por aqui. Você precisará saber se fica com a versão 32-bit (x86) ou 64-bit (x64) do Windows – para isso, apenas digite “sistema” (ou “system”) na busca do Windows e clique no primeiro item da lista, que te levará para uma janela do Painel de Controle. A listagem “Tipo de sistema” te dirá qual versão do Windows você está rodando. A maioria dos PCs lançados na última década rodam um sistema 64-bit.

A Apple incluiu sem alarde proteções contra o Meltdown no macOS High Sierra 13.10.2, lançado em dezembro. Caso seu Mac não aplique os updates automaticamente, vá até a aba Update da App Store para fazer a atualização.

Os Chromebooks deveriam ser atualizados para o Chrome OS 63, lançado em dezembro. Ele traz mitigações contra as falhas de CPU. Os desenvolvedores Linux estão trabalhando em patches para o kernel. Também há patches disponíveis para o kernel Linux.

Agora a má notícia: os patches para sistemas podem deixar seu PC mais lento. Mas o quão mais lento é algo que varia muito, dependendo da sua CPU e da carga de trabalho que você está rodando. A Intel espera que o impacto seja razoavelmente pequeno para a maioria das aplicações padrão como games ou navegação na web. De qualquer forma, você ainda vai querer instalar os updates por questões de segurança.

Verifique atualizações de firmware

Como a falha Meltdown existe no nível de hardware, a Intel também liberando atualizações de firmware para os seus processadores. “Até o final da próxima semana, a Intel espera ter liberado updates para mais de 90% dos processadores lançados nos últimos cinco anos”, afirmou a fabricante em um comunicado publicado em 4 de janeiro.

A Intel também lançou uma ferramenta de detecção que pode te ajudar a determinar se você precisa de uma atualização de firmware.

Realmente conseguir essas atualizações de firmware pode ser um pouco complicado, já que os updates de firmware não são publicados diretamente pela Intel. Em vez disso, você precisará pegá-los com a companhia que produziu seu laptop, PC ou placa mãe – pense em empresas como HP, Dell, Gigabyte, etc. A página de suporte da Intel dedicada à vulnerabilidade inclui links para todos os seus parceiros, onde você pode encontrar qualquer update de firmware disponível e informações sobre o seu PC em particular. A maioria dos computadores e laptops pré-montados possuem um adesivo no exterior com mais detalhes.

Atualize seu navegador

Você também precisa se proteger contra a Spectre, que engana o software para acessar sua memória kernel protegida. Chips da Intel, AMD e ARM são vulneráveis à falha em algum grau. As aplicações de software precisam ser atualizada para você proteger contra a Spectre. Os principais navegadores web para PCs já liberaram updates como uma primeira linha de defesa contra sites maliciosos que buscam explorar a falha com Javascript.

A Microsoft atualizou o Edge e o Internet Explorer juntamente com o Windows 10. O Firefox 57, da Mozilla, também traz defesas contra o Spectre. O Chrome 63 traz a “Isolação de Site” (“Site Isolation”) como um recurso experimental opcional – você pode acioná-lo agora ao acessar chrome://flags/#enable-site-per-process na sua barra de navegação e então clicar em Habilitar (Enable) perto da opção “Strick Site Isolation”. O Chrome 64 terá mais proteções quando for lançado em 23 de janeiro.

Mantenha seu antivírus ativo

Por fim, essa diretriz mostra como é importante manter seu PC protegido. Os pesquisadores do Google que descobriram as falhas de CPU afirmam que o antivírus tradicional não conseguiria detectar um ataque Meltdown ou Spectre. Mas os invasores precisam poder injetar e rodar código malicioso no seu PC para se aproveitar dos exploits. Por isso, manter seu software de segurança instalado e vigilante ajuda a manter os hackers e malwares fora do seu computador. Além disso, “seu antivírus pode detectar malware que os ataques ao comparar binários depois que eles ficarem conhecidos”, aponta o Google.

Fonte: IDG Now!

Reconhecimento de rosto pelo Windows 10 pode ser burlado com foto

Pesquisadores da empresa de segurança alemã SYSS encontraram uma forma de enganar o sistema de reconhecimento facial do Windows Hello. Esse é o serviço que permite a você desbloquear o acesso a um usuário do Windows 10 apenas se posicionando na frente da webcam.

Em alguns vídeos divulgados, é possível ver a técnica funcionando sem falhas e com desbloqueio imediato da tela. A SYSS fez os testes em um PC Dell Latitude com uma webcam USB instalada e em um Microsoft Surface Pro 4 e em ambos foi bem sucedida.

O primeiro passo é obter uma foto em infra-vermelho de baixa resolução do rosto do usuário, já que a identificação do Windows Hello usa a mesma tecnologia (ela é melhor pois funciona em baixa luminosidade e é mais segura). Em seguida, é só posicioná-la de frente para a câmera. Em alguns casos, é preciso colocar fita adesiva na lente da câmera RGB.

As versões afetadas são a 1607 (Anniversary Update) e anteriores. Porém, é possível aplicar a mesma estratégia até mesmo em atualizações como a Creators Update caso você não tenha refeito a configuração do Windows Hello nem tenha uma máquina mais moderna com a opção ativada de anti-fraude. No caso dos testes, o modelo da Dell não continha essa função.

Porém, você não precisa exatamente entrar em pãnico. O experimento da SYSS foi feito a partir de uma série de condições controladas — e não é muito difícil de se manter seguro nesse caso. A principal dica é manter o Windows 10 sempre atualizado, já que a última versão afetada já tem algum tempo. Porém, o fato de que o esquema de segurança pode ser burlado (assim como aparentemente aconteceu com os sistemas do Galaxy S8 e do iPhone X) deve continuar sendo testado e divulgado.

Fonte: Tecmundo

Usa o navegador IE? Aí vai um alerta

Pode parecer que não, mas uma parcela da internet ainda é consumida por meio do Internet Explorer, o controverso e já descontinuado navegador da Microsoft. Até aí tudo bem, obviamente, mas eis que a informação de um bug que vaza informações pesquisadas a partir da barra de endereços do programa cria um alerta.

O problema foi revelado pelo pesquisador de segurança Manuel Caballero e permite que uma página visitada identifique a informação digitada no campo de endereços do Internet Explorer 11 (única versão que ainda recebe suporte da Microsoft) assim que o usuário pressiona a tecla Enter. Ou seja, informações pesquisadas a partir deste espaço podem ser monitoradas pelos sites acessados durante a navegação.

No vídeo em que demonstra a falha, é possível perceber que as informações estão sendo “vazadas”, mas Caballero exibe isso de propósito justamente para identificar o bug em ação. “Em minha opinião, a Microsoft está tentando se livrar do IE sem dizer isso”, escreveu o pesquisador. “Seria mais fácil e mais honesto simplesmente dizer aos usuários que o seu navegador antigo não está tão bem servido quanto o Edge.”

Apesar disso, a Microsoft revelou ao site Wccftech que “tem o compromisso com o consumidor em investigar as questões de segurança reportadas e atualizar ativamente os dispositivos impactados o mais breve possível”. De qualquer maneira, se você ainda utiliza o Internet Explorer, provavelmente já passou da hora de mudar de navegador.

Fonte: Tecmundo

Falha expõe dados de 143 milhões de usuários nos EUA

Uma falha de segurança resultou no possível vazamento de dados de mais de 143 milhões de pessoas nos Estados Unidos. O problema ocorreu na Equifax, uma das maiores companhias de serviço de proteção ao crédito do país, espécie de SPC/Serasa de lá. De acordo com a própria empresa, os dados expostos incluem número de seguro social e de carteira de motorista e também a data de nascimento dos consumidores.

O problema foi identificado no dia 29 de julho deste ano e, de acordo com a Equifax, foi explorado por criminosos desde a metade de maio a fim de obter acesso a determinados arquivos. E a falha resultou em uma situação ainda mais grave para uma porção menor de pessoas: 209 mil números de cartões de crédito e dados de identificação pessoal de 182 mil pessoas também foram vazados.

Ainda de acordo com a Equifax, o problema pode ter ultrapassado as fronteiras dos Estados Unidos e possivelmente alguns consumidores do Reino Unido e do Canadá também correm risco de terem seus dados expostos.

Maior vazamento de dados sensíveis da história

Após este que é o maior vazamento de dados sensíveis da história, atingindo quase 50% da população total dos Estados Unidos, a Equifax divulgou um comunicado pedindo desculpas aos consumidores. A companhia, que detém dados de mais de 820 milhões de consumidores de vários países, afirmou ter contratado uma empresa de segurança para investigar o vazamento e também que vai levar o caso para a Justiça.

Fonte: Tecmundo

Microsoft Edge apresenta falha grave de segurança

Os navegadores estão constantemente em contato direto com a Internet, permitindo que os atacantes procurem explorar as suas vulnerabilidades e as suas falhas.

No Edge, o mais recente navegador da Microsoft, foi descoberta uma nova vulnerabilidade, que permite que sejam roubadas as senhas do usuário e os cookies previamente armazenados.

Esta nova falha do Edge foi descoberta pelo pesquisador de segurança Manuel Caballero, que mostrou que é simples e muito rápido para qualquer atacante obter as senhas de qualquer usuário deste browser. Além disso é igualmente possível obter os cookies que os sites guardam nesse navegador.

Uma vez em posse destes dados, é possível ao atacante acessar todos os sites que o usuário tenha visitado, mesmo os que requerem autenticação, deixando-o assim exposto e vulnerável.

Para obter estes dados é necessário apenas explorar uma falha na implementação da “Same Origin Policy” que foi feita pela Microsoft. Esta medida pretende impedir que os sites explorem os dados que foram gerados por outros, mas, até onde se sabe até agora, esta medida não foi implementadda de forma correta.

Para piorar a situação, e segundo Manuel Caballero, esta falha não é nova e já existem duas formas diferentes de a explorar. Ambas são bem conhecidas pela Microsoft e estão ainda por serem resolvidas.

Mas a nova forma, descoberta por este pesquisador de segurança, mostra-se tão eficiente como as demais, com a particularidade de ser mais simples e mais rápida de implementar, sendo por isso mais perigosa.

Esta é mais uma falha a ser acrescida à lista daquelas recentemente descobertas em produtos Microsoft. Depois de dias de grande confusão por conta do ciberataque mundial, que explorava uma falha no Windows, surge mais uma, desta vez no navegador que a Microsoft quer que os seus usuários usem como o seu preferencial.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware