Seu CPF pode ter sido exposto

Servidor mal configurado expôs documento sensível de mais da metade da população por meses, alertou pesquisadores de cibersegurança.

Pesquisadores em cibersegurança descobriram uma brecha grave em um servidor que expôs o número de CPF de 120 milhões de brasileiros – ou seja, mais da metade da população. Segundo a empresa de segurança InfoArmor, que detectou a vulnerabilidade em março deste ano, a negligência estava na própria configuração da segurança do servidor.

Os pesquisadores identificaram que as ferramentas de segurança do servidor público brasileiro não estavam configuradas adequadamente. Dessa forma, dados armazenados neste servidor poderiam ser acessados por qualquer pessoal mal-intencionada a qualquer momento.

O “Cadastro de Pessoas Físicas” é necessário, entre outras coisas, para realizar transações financeiras, como abrir uma conta bancária, comprar um imóvel, abrir um negócio, pagar impostos, etc. Nesse sentido, cada número de CPF exposto está associado a um histórico bancário e fiscal.

Depois de analisar mais de perto o servidor mal configurado, os pesquisadores descobriram que alguém havia modificado o nome de um arquivo de “index.html” para “index.html_bkp“. Essa mudança de nome é uma das razões pelas quais as informações foram expostas. Como explicam os especialistas, qualquer pessoa que soubesse o nome do arquivo e o encontrasse poderia ter acesso livre a todas as pastas e arquivos. Esses arquivos, que variam de 27 megabytes a 82 gigabytes, continham bancos de dados com informações relacionadas ao CPF.

A InforArmor tentou entrar em contato com o proprietário do servidor para comunicar a descoberta. E, embora tenha havido várias tentativas fracassadas, o erro de segurança foi reparado e as informações deixaram de estar acessíveis.

Os pesquisadores responsáveis pela descoberta do vazamento de dados relatam ainda que é provável que cibercriminosos com recursos de coleta de dados os tenha detectado. Caso isso realmente tenha ocorrido, é muito provável que esses dados possam ser usados no futuro para uma campanha maliciosa ou ataque direcionado ao Brasil.

O pesquisador de segurança da ESET, Daniel Cunha Barbosa, destaca que caso um cibercriminoso tenha acesso ao número de CPF “é possível gerar fraudes como cadastros válidos no nome de uma pessoa e, dependendo do nível de informações adicionais que o criminoso possua, fazer compras e até mesmo contratar empréstimos”. A recomendação da empresa é monitorar de perto o documento para evitar qualquer transtorno no futuro.

Fonte: IDGNow!

Opera tem servidores invadidos: 2 milhões de usuários são afetados

OperaCerca de 1,7 milhão de usuários do Opera podem ter tido informações pessoais roubadas, informou a desenvolvedora do browser na última sexta-feira (26). Segundo a empresa, um ataque hacker foi realizado na semana passada, e “alguns dados, incluindo senhas e informações de conta de alguns clientes do Sync, podem ter sido comprometidos”.

Os serviços de sincronização em nuvem contam com um sistema de criptografia, o que garante uma camada a mais de segurança aos dados dos internautas. Ainda assim, e apesar de ter bloqueado a ação criminosa rapidamente, a companhia optou por redefinir as senhas dos usuários que foram vítimas dos cibercriminosos.

Todos os clientes da Opera que possuem cadastro nos serviços Sync receberam um email para a redefinição das credenciais de acesso às contas, segundo publicou também a desenvolvedora. Se você é um dos 350 milhões de usuários ativos do Opera, possui serviços vinculados ao navegador e não recebeu mensagem eletrônica alguma, não se preocupe; significa que sua conta não foi afetada e que você não terá de criar uma nova password.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Ataque hacker que pode alterar a memória de servidores virtuais

hacker_attackOs hackers buscam sempre brechas de segurança em sistemas e programas de todo tipo, a maioria das vezes para buscar uma solução.

Agora conseguiram identificar um novo tipo de ataque que é capaz de alterar alguma variável tão relevante como a própria memória do servidor da vítima.

Isso é o que uma equipe de experts em segurança, conseguiu, em Amsterdam, ou seja, alterar a memória de algumas máquinas virtuais na nuvem sem nenhum erro de software, utilizando para isso uma nova técnica de ataque.

Conseguiram decifrar as chaves de máquinas virtuais seguras e instalar malware sem que se note. Trata-se de uma evolução de um ataque que aproveita falhas de hardware, de forma que o atacante possa pedir ao servidor que instale software malicioso e permita o acesso de pessoas não autorizadas.

A técnica já tem nome: Flip Feng Shui (FSS). Um atacante aluga uma máquina virtual no mesmo host que a vítima e começa a trabalhar para que ambos sites compartilhem os mesmos locais de memória, modificando posteriormente a informação na memória geral da equipe para alterar a disponível pelo servidor.

Em techxplore.com é possível consultar mais detalhes com um passo a passo, embora tenha o documento completo neste PDF da Universidade responsável polo estudo.

Enfim, agora é ficar atento, se sentir que a memória de seu servidor diminuiu de repente, é possível que esteja sendo vítima de um ataque FSS.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Whatsnew

Falha em servidor de DNS pode deixar parte da Internet fora do ar

dnsO Internet Consortium Systems (ICS) liberou na última semana a correção para um das brechas mais preocupantes já descobertas no BIND, um dos softwares de DNS mais utilizados na web e o padrão em sistemas baseados em Unix. A falha permite que um hacker sozinho consiga derrubar partes da internet com um comando simples. E apesar de um patch para resolver o problema já ter sido disponibilizado, os primeiros casos de cibercriminosos se aproveitando da “porta aberta” foram registrados nesta segunda-feira (3).

A vulnerabilidade atinge um recurso chamado TKEY, classificado como dispensável pelo especialista em segurança Robert Graham. De forma simplificada, o sistema do BIND não consegue gerenciar pacotes malformados em pedidos da função. Esses pacotes podem ser criados facilmente, enviados remotamente aos servidores vulneráveis como uma espécie de ataque de negação de serviço e derrubá-los.

Como explicou Daniel Cid, CTO da Sucuri, em um post no blog da empresa de segurança, a queda acaba deixando inacessíveis o HTTP, o e-mail e outros serviços ligados ao DNS, “uma das partes mais críticas da infraestrutura da Internet”. Por isso mesmo, a brecha, identificada pelo código CVE-2015-5477, pode ser usada para tirar do ar algumas partes da web – o que a levou a ser classificada como “crítica”.

A única forma de prevenir ataques que se aproveitam da vulnerabilidade é aplicando o patch nas versões 9.1.0 a 9.8.x, 9.9.0 a 9.9.7-P1 e 9.10.0 a 9.10.2 P2. O update já foi liberado em todas as principais distribuições de Linux, e administradores precisam instalá-lo manualmente e reiniciar o servidor para concluir o processo. O download, aliás, pode ser feito no site do ISC.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Dados de cartões roubados nos EUA eram enviados ao Brasil

TargetServidor brasileiro fazia parte da infraestrutura do ataque.  Outro computador que recebia dados ficava na Rússia.

O jornalista especializado em segurança Brian Krebs publicou uma reportagem em seu site “KrebsOnSecurity.com” revelando que investigadores norte-americanos identificaram um servidor brasileiro sendo usado para receber dados de cartões de crédito roubados da rede varejista Target. O sistema brasileiro divida a tarefa com outros dois servidores, um em Miami, nos Estados Unidos, e um na Rússia. A reportagem foi publicada na quarta-feira (7).

Crackers roubaram dados de até 100 milhões de cartões de crédito da Target por meio da instalação de um software espião nos computadores de ponto de venda (PDV). Como o uso de cartões com chip nos Estados Unidos é incomum, o acesso aos dados do cartão pelo PDV eram suficientes para realizar uma clonagem. O roubo de dados começou no dia 15 de novembro e os dados obtidos estão à venda na web.

Informações da própria Target apontam que, entre os dias 27 de novembro e 15 de dezembro, dados de 40 milhões de cartões foram comprometidos. Pelo menos parte desses dados teria sido enviada ao Brasil.

Segundo o jornalista, as autoridades norte-americanas já enviaram ao Brasil uma solicitação de auxílio para que o servidor fique disponível aos investigadores. O Itamarity informou que essas solicitações são recebidas pelo Ministério da Justiça, seguindo um acordo de cooperação que existe entre o Brasil e os Estados Unidos. O Ministério da Justiça informou que o órgão não se pronuncia sobre casos concretos, protegidos por segredo de justiça.

Ainda de acordo com Krebs, os investigadores teriam identificado que os crackers conseguiram chegar aos sistemas da Target por meio da Fazio, uma empresa que fornece serviços de refrigeração. O presidente da empresa, Ross Fazio, confirmou que a companhia recebeu uma visita de agentes do serviço secreto norte-americano, mas não deu outros detalhes.
Não está claro como ou por que uma empresa de refrigeração teria acesso à rede da Target para que o software espião, chamado de BlackPOS, pudesse chegar aos pontos de venda.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1