Mega vazamento: 2,2 bilhões de senhas circulam pela rede

No começo do mês, o pesquisador de segurança Troy Hunt revelou que um vazamento, batizado de Collection #1, tinha exposto os e-mails de 773 milhões de pessoas e mais de 21 milhões de senhas. Em seguida, o pesquisador de segurança da informação Brian Krebs informou que existiam outros pacotes de credenciais, o Collection #2 até o Collection #5, que tinham até dez vezes o tamanho do vazamento original. Agora, diferentes pesquisadores de segurança da informação tiveram acesso e analisaram esses últimos quatro pacotes de dados. A conclusão é de que eles abrigam os nomes de usuários e senhas de 2,2 bilhões contas únicas, quase três vezes mais do que o primeiro pacote.

“Essa é a maior coleção de credenciais que já vimos”, disse à revista Wired Chris Rouland, pesquisador de cibersegurança da empresa Phosphorus.io. Boa parte desses arquivos é velha, composta por material de outros vazamentos, como do Yahoo, LinkedIn e Dropbox. Esses dados já vinham circulando na internet em fóruns e programas de torrent – apenas uma fração seria inédita. Ainda assim, o Hasso Plattner Institute, na Alemanha, afirmou que 750 milhões das credenciais não faziam parte do seu catálogo de informações vazadas. Já Rouland 611 milhões de credenciais não faziam parte da Collection #1 – é comum que em grandes compilações de dados exista informação duplicada.

Os pesquisadores também chamam a atenção para a livre circulação do material na internet. É comum que vazamentos inéditos sejam vendidos por valores altos na rede e percam valor conforme envelhecem, dando tempo para que seus proprietários ou empresas tomem ações para combater invasões. Segundo os pesquisadores, a fácil disponibilidade indica que as credenciais perderam apelo, mas não significa que não possam ser úteis para para hackers menos habilidosos, que ainda podem tentar descobrir se as senhas e logins funcionam.

Rouland não revelou quais companhias foram afetadas pelo vazamento, mas disse estar tentando contato com elas e que também está aberto a conversar com representantes de empresas que acreditam terem sido afetadas.

Troy Hunt publicou em seu site – haveibeenpwned.com – uma ferramenta em que usuários podem checar se foram afetados pelo vazamento Collection # 1. O recurso também mostra se um e-mail já foi afetado em outras falhas de segurança, como a da rede social Myspace ou a do serviço de música Last.fm. A recomendação dos especialistas é que as pessoas troquem as senhas das contas caso elas estejam listadas na ferramenta de Hunt. Os pesquisadores da Plattner Institute em Potsdam criaram uma outra ferramenta para que usuários descubram se fazem parte do segundo pacote em diante.

Fonte: Estadão

Megavazamento de contas de e-mail

Revelado nesta semana, o vazamento que expôs mais de 772 milhões de endereços de e-mails e de 21 milhões de senhas pode ser maior do que o imaginado. Ontem, o pesquisador de segurança da informação Brian Krebs disse, em sua conta no Twitter, que encontrou um novo pacote de credenciais digitais, que completaria o primeiro arquivo e seria pelo menos dez vezes maior. Segundo ele, ainda não é possível identificar quem são as vítimas afetadas pelo pacote.

Sem revelar a identidade do infrator, Krebs disse que esteve em contato com o hacker que supostamente expôs e vendeu os dados na internet. O suposto criminoso oferecia, por meio do aplicativo de mensagem instantânea Telegram, a venda de um pacote com 1 terabyte de tamanho, repleto de informações pessoais de usuários – equivalente a mais de 100 filmes, de duas horas, em alta definição. O primeiro arquivo, descoberto pelo pesquisador Troy Hunt, tinha 87 gigabytes (um terabyte, por sua vez, é formado por 1024 gigabytes).

O especialista ainda reforçou a teoria, formulada nesta semana por Hunt, de que os dados pertencentes aos pacotes fazem parte de informações já vazadas anteriormente na internet. Outro indício que se soma a essa conjectura é o fato de que a Hold Security, empresa especializada em cibersegurança, diz já ter encontrado 99% dos dados da Collection #1 em pacotes menores espalhados pela rede. Ao que se sabe, os arquivos coletados e expostos na primeira coleção foram coletados de 2 mil bancos de dados, coletados nos últimos dois ou três anos.

Para Roberto Rebouças, diretor-executivo da empresa de cibersegurança Kaspersky no Brasil, o caso não é um vazamento comum e deverá ter novos desdobramentos nos próximos dias. “É uma grande coleção de dados sendo vendidos na internet”, disse. “Acredito que haverá uma quantidade ainda maior de dados expostos neste mesmo caso.”

Na visão do executivo, ataques e vazamentos como esses serão cada vez mais comuns – parte do problema se dá, segundo ele, porque há pouca proteção em bancos de dados captados por corporações. “As informações vazadas não foram dadas pelos usuários em um cadastro na internet, mas coletadas por meio de um arquivo infectado ou uma pessoa infiltrada dentro da companhia”, diz Rebouças. “No mercado atual, todas as empresas serão invadidas pelo menos uma vez na vida. Infelizmente, agora é regra.”

Um dos mais conhecidos para verificar vazamentos é o Have I Been Pwned: eles capturam as informações vazadas e as incluem num banco de dados, que já possui 134 serviços e 1,4 bilhão de contas cadastradas. Basta fazer uma pesquisa pelo endereço de e-mail ou nome de usuário que você costuma utilizar nos serviços e o site retornará uma lista dos vazamentos que continham suas informações.

Fontes: Estadão e Tecnoblog

Apps populares podem vazar seus dados pessoais

Este artigo não fala de Trojans, mas sobre aplicativos genuínos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milhões de APKs (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos têm centenas de milhões de downloads, às vezes mais de meio bilhão! Não dá para chamar algo assim de “probleminha”.

Por vezes, informações são expostas online em função de algum erro do desenvolvedor – todavia não é isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usuários para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a interceptação. O problema está nos serviços de terceiros que os desenvolvedores incorporam sem verificação de antecedentes. Por exemplo, alguns analíticos ou de publicidade conduzem informações pela internet por meio do protocolo HTTP padrão, que não é seguro.

Que informações podem ser afetadas?

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especificações técnicas, dados relacionados à rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos serviços também revelaram as coordenadas do smartphone ou tablet.

Em alguns casos, informações sobre o uso dos aplicativos foram transmitidas pelo HTTP por um serviço terceirizado integrado. Dentre esses dados estavam curtidas, publicações, páginas visitadas, além de detalhes sobre o dono do aparelho – nome, telefone, data de nascimento. Descobriu-se que as chaves únicas criadas para cada pedido de autorização também eram transferidas de forma insegura. Felizmente, a maioria dos serviços não repassa logins e senhas sem criptografia, apesar de alguns o terem feito.

O que há de perigoso nisso?

Informações transmitidas por HTTP são enviadas como um texto simples, e podem ser lidas por qualquer pessoa – inclusive seu provedor de internet, por exemplo. Além disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem vários “pontos de trânsito”, na forma de dispositivos que recebem e armazenam informação por um determinado período de tempo.

Qualquer equipamento de rede, o que inclui seu roteador doméstico, pode ser vulnerável. Se hackeado, vai permitir que criminosos tenham acesso as suas informações – o provedor de internet, por outro lado, não precisa hackear nada para isso. E a obtenção de qualquer informação sobre o dispositivo (especificamente códigos IMEI e IMSI) é o suficiente para monitorar suas ações futuras. Quanto mais completa a informação, mais você se torna um livro aberto para os outros – de anunciantes até amigos falsos que oferecem arquivos maliciosos para download.

Entretanto, os vazamentos de dispositivos e dados são apenas parte do problema; informações sem criptografia também podem ser substituídas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um anúncio em vídeo, que os cibercriminosos podem interceptar e substituir por uma versão menos inofensiva. Ou então podem simplesmente mudar o link dentro de um anúncio – e ao invés de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usuários correm o risco de fazer o download de algo muito mais nefasto.

O que pode ser feito

Essas questões devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas não se pode confiar completamente que irão resolver, assim, temos algumas dicas simples que podem protegê-lo melhor.

Verifique as permissões solicitadas por um aplicativo – pode demorar, mas nunca é uma perda de tempo, mesmo quando o app tem milhões de downloads. Se, digamos, um aplicativo de mensagem instantânea quer saber sua localização, não se sinta obrigado a revelar. Saiba mais detalhes sobre as permissões do Android aqui.
Compre versões pagas dos aplicativos, se possível. Elas não mostram anúncios, o que significa menor risco de vazamento de dados. No entanto, pode ser que ainda utilizem módulos analíticos terceirizados que muitas vezes se comportam do mesmo jeito.
Utilize uma VPN – essa conexão segura vai proteger seus dados mesmo que os desenvolvedores não consigam.

Fonte: Kaspersky

Forte indício: grande vazamento de dados da Netshoes

A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet.

Neste 16/01, o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.

O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: “DFrank”. Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.

Sobre o acesso, “DFrank” se limitou a dizer que “explorou vulnerabilidades na plataforma para acessar os dados”.

Posicionamento da Netshoes

A Netshoes reafirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e segue em constante monitoramento. A Companhia reforça que, a exemplo dos dados divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de cartões de crédito ou senhas de acesso. Como premissa de sua atuação, a Netshoes reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores.

Qual o perigo do vazamento desses dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas por “DFrank” podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite “desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

O seu nome está na lista?

O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:

  • Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
  • Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes
  • Se o seu nome estiver na lista, você pode consultar um advogado. Além disso, é interessante ficar ligado em possíveis golpes de phishing no seu e-mail ou mensageiros.
Fonte: Tecmundo

Vazam milhões de senhas na rede

Pesquisadores da empresa de segurança 4iQ encontraram uma base de dados coletiva na dark web que possui cerca de 1,4 bilhão de logins de senhas de diversos serviços. As senhas são de plataformas, games e sites, como: Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, Minecraft, Runescape, Anti Public e Exploit.in.

De acordo com os pesquisadores, a base de dados pode ser encontrada na dark web ou em plataformas de compartilhamento de torrent. O arquivo facilmente acessado possui nomes de usuário, emails e combinações de senhas. É interessante notar que a base de dados é refinada: fragmentada, as senhas e informações são divididas em diretórios para que nada seja perdido e, na verdade, seja facilmente encontrado — tudo é organizado em ordem alfabética, por exemplo.

No total, o arquivo possui 41 GB e foi atualizado pela última vez em novembro deste ano. O que não está claro é o seguinte: como as senhas foram obtidas? Provavelmente, estamos vendo uma combinação de vazamentos sistemáticos após invasão de sistemas e golpes de phishing.

“Nenhuma senha está encriptada, e o assustador é que testamos uma amostragem dessas senhas e vimos que a maioria é verdadeira. O vazamento é quase duas vezes maior que o maior já registrado, com 797 milhões de logins”.

Não há indicações de autores sobre a publicação do documento. Contudo, o cibercriminoso deixou um link para a própria carteira de Bitcoin (e Dogecoin) para receber doações pelo vazamento.

Agradecemos ao Augusto, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Maioria das VPNs para Android são um risco para o usuário

vpn_the_worstEsteja você tentando aumentar sua privacidade durante a navegação na internet, acessar conteúdos restritos para a sua localização ou então contornar situações como um bloqueio do WhatsApp pela Justiça, é provável que já tenha usado uma VPN. Como supostamente criptografam suas informações e as roteiam para outros países, essas redes parecem ser a solução ideal para situações como as descritas. No entanto, um estudo recente indica que elas podem também representar um risco para os usuários.

Feito com a participação de uma série de pesquisadores de instituições que incluem a Universidade da Califórnia em Berkeley e a CSIRO, uma agência federal australiana, o trabalho analisou quase 300 VPNs para Android e descobriu dados alarmantes sobre elas. De acordo com a pesquisa, nada menos que 84% das redes disponíveis para os dispositivos com o sistema operacional da Google vazam os dados de tráfego das pessoas que as utilizam.

Além disso, 38% das VPN estudadas no Android continham algum tipo de malware ou de anúncio mal-intencionado e 18% simplesmente não contavam com qualquer tipo de encriptação real. Três dos aplicativos (Neopard, Dash VP e DashNet) chegam até a interceptar as informações de tráfego diretamente, permitindo que operadores lessem emails de usuários que abrissem suas contas do Gmail, entre outras atividades nefastas – embora eles alegassem que coletavam esses dados apenas para aumentar a velocidade das conexões.

Questão de confiança

Um dos coautores do estudo, o pesquisador Narseo Vallina-Rodriguez da IMDEA Networks e da ICSI disse não ter ficado surpreso com os resultados. “Para mim, o fato chocante é que as pessoas confiam nesse tipo de tecnologia”, disse o cientista ao site The Verge. Segundo ele, ao instalar esses apps, os usuários estão simplesmente entregando suas conexões, e, se a companhia que a está recebendo não for confiável, pode acabar abusando desse acesso.

Embora a pesquisa tenha se focado em opções de VPNs gratuitas para Android, o estudioso afirma que pagar por um serviço do tipo também não é garantia de que você estará livre desses riscos. Ainda assim, nesses casos a questão é puramente de confiança na companhia que você está pagando, algo similar ao que já acontece normalmente com seus fornecedores de conexão com a internet.

Outro ponto que merece atenção é o fato de o trabalho ter analisado apps no ano passado, alguns dos quais já foram removidos da Google Play Store desde então. Além disso, o estudo não avalia se todas as brechas de segurança encontradas existem por motivos maliciosos ou não. Por fim, a pesquisa também não investigou VPNs para iOS, mas Vallina-Rodriguez diz acreditar que a avaliação mais rígida da App Store provavelmente elimina opções mais suspeitas. Em todo caso, vale o alerta: fique atento à empresa à qual você está confiando sua conexão.

A imagem de abertura deste post traz a lista dos 10 piores apps de VPN para Android no que diz respeito a malwares.

Agradecemos ao Davi e ao Igor pela referência a essa notícia.

Fonte: Tecmundo

Yahoo: vazam dados de 1 bilhão de usuários

Yahoo_sad_face

Novo roubo é duas vezes maior que o ataque revelado no começo do ano

O Yahoo revelou nesta quarta-feira, 14/12, novas violações de segurança que afetam dados de mais de 1 bilhão de usuários. Trata-se de um novo ataque, duas vezes maior que a invasão revelada no início deste ano – a invasão anunciada nesta semana já pode ser considerada a maior falha de segurança de um serviço deste tipo na história.

Nesta quarta-feira, a empresa disse que “usuários não autorizados” roubaram dados associados a contas de mais de 1 bilhão de usuários, em agosto de 2013. Em setembro, o Yahoo culpou “hackers patrocinados por governos” de roubar dados de 500 milhões de usuários em 2014. À época, esse era o maior caso de roubo de dados pessoais da história.

Segundo o Yahoo, o incidente é “provavelmente” diferente do que foi reportado em setembro, e que as informações roubadas pelos hackers podem ter incluído dados como “nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas e, em alguns casos, questões e respostas de segurança, estejam elas encriptadas ou não”. A empresa garantiu, porém, que dados bancários e de cartões de crédito de seus usuários não foram violados.

Em julho, a Verizon Communications havia concordado em comprar os negócios de internet do Yahoo por US$ 4,8 bilhões. No entanto, depois que os dois ataques à base de dados do Yahoo foram revelados, a operadora norte-americana sinalizou que poderia desistir da transação, e que está ainda avaliando o impacto dos ataques. Já o Yahoo informou que tomou medidas para proteger as contas dos usuários e que está trabalhando em conjunto com as autoridades.

Além disso, o Yahoo pediu para seus usuários resetem suas senhas e escolham novas palavras-passe, usando métodos de segurança mais fortes do que os utilizados depois que o último ataque foi revelado.

Estratégia. Na quarta-feira, o Yahoo disse que hackers responsáveis pelo ataque de 2014, revelado em setembro, tinham conseguido ter acesso ao código da empresa, aprendendo a forjar “cookies”. “Cookies” são elementos usados em páginas na web para ter acesso e salvar dados de usuários com seu consentimento. Disfarçados dentro do código do Yahoo, os cookies falsos ajudavam os hackers a ter acesso a contas sem necessariamente precisar de uma senha.

“O Yahoo fez tudo errado”, disse Bruce Schneier, criptoglogista e especialista em cibersegurança. “Eles não estavam levando a segurança a sério, e isso agora está claro. Acredito que os usuários terão problemas em confiar no Yahoo no futuro.”.

O ataque é mais um golpe duro para o Yahoo, pioneiro da internet que perdeu espaço para rivais mais novos como o Google e o Facebook. Horas antes do anúncio, executivos do setor de tecnologia foram convidados para um encontro com o presidente eleito dos Estados Unidos Donald Trump em Washington. Segundo fontes próximas ao assunto, o Yahoo não foi convidado para a reunião – de acordo com a empresa, sua presidente executiva, Marissa Mayer, passou o dia na Califórnia.

Fonte: Estadão