Fonte : Authy
Imagem de Cibersegurança Report #33 no tecmundo
Aconteceu de tudo nos últimos dias no campo da cibersegurança. Foram várias as brechas de segurança divulgadas, inclusive em um popular app de verificação de dois fatores e em celulares Android.
Além disso, o Brasil foi notícia pelo vazamento de dados pessoais de predadores sexuais infectados com um malware e a Meta foi impedida pelo governo de usar dados para treinar IAs.
As 6 principais notícias de cibersegurança da semana
1. Dados pessoais de pedófilos no Brasil são vazados por malware
Pesquisadores da Insikt Group revelaram que contas de pessoas acusadas de acessar conteúdos de abuso infantil foram expostas durante o vazamento de um malware. As informações envolvem usuários infectados com essa ameaça que entraram em sites monitorados.
Foram identificadas três mil pessoas pelo vazamento. As informações obtidas via cruzamento de dados permitiram acesso a nomes de usuários, IPs e mais detalhes da entrada. O Brasil é um dos países que mais registrou entradas, seguido de EUA e Índia, e autoridades competentes foram acionadas para apurar os casos.
O combate a predadores sexuais no Brasil que atuam nos meios digitais é o tema de Realidade Violada 3, o próximo episódio do documentário do TecMundo sobre cibersegurança.
2. Instagram e Facebook estão proibidos de usar dados de brasileiros em IAs
A Autoridade Nacional de Proteção de Dados (ANPD) notificou a Meta, dona de Facebook e Instagram, a parar de usar dados de brasileiros para treinar IAs generativas da empresa. Segundo o órgão, a nova política de uso de informações pessoais das redes sociais é fere a LGPD e gera "riscos de dano grave e de difícil reparação aos usuários".
O Facebook.
O texto diz que a empresa não foi transparente ao informar os usuários sobre o tratamento dos dados, pode coletar informações de crianças e adolescentes e nem forneceu um caminho de fácil acesso para que uma pessoa possa rejeitar essa prática.
A multa diária por manter as práticas é de R$ 50 mil. Além disso, a Meta tem cinco dias para explicar a política de coleta de dados à Secretaria Nacional do Consumidor (Senacon). Em nota, a companhia se diz "desapontada" com a ação e diz que cumpre com as leis nacionais.
3. OpenAI, dona do ChatGPT, teve chats internos hackeados durante ataque cibernético
A empresa de inteligência artificial OpenAI, responsável pelo serviço ChatGPT, teve o sistema de mensagens internas invadido por um médoto ainda desconhecido. Segundo o jornal The New York Times, a ação aconteceu no começo de 2023 e resultou no roubo de detalhes sobre "o design de tecnologias desenvolvidas pela companhia", que estavam em debate em um fórum online exclusivo para funcionários.
O ChatGPT.
A própria OpenAI decidiu não divulgar publicamente o incidente e nem comunicar autoridades, pois informações de consumidores ou parceiros não foram afetadas. Essa ação foi bastante criticada, já que abre precedentes para uma eventual falta de transparência por parte da empresa.
4. Média de extorsão em ransomwares é de US$ 5,2 milhões por ataque
A média do resgate pedido por cibercriminosos para liberar sistemas em um ataque de ransomware ultrapassou a média dos US$ 5,2 milhões — cerca de R$ 29,6 milhões — no início do terceiro trimestre de 2024. Esse é um dado da Comparitch, que analisou uma série de casos ocorridos nos últimos meses em todo o mundo.
Ransomwares seguem em alta.
De acordo com o levantamento, o maior pagamento foi da farmacêutica indiana RCC Laboratories, com os responsáveis exigindo US$ 100 milhões na extorsão. Já o principal grupo envolvido foi o LockBit, que não só ataca por conta própria, mas também "aluga" ferramentas para outros agentes mal intencionados.
Ao todo, foram cerca de 420 ataques de ransomware até o momento em 2024 — média menor que o ano passado, recorde desse tipo de ataque.
5. Android WhatsApp, Apple Safari e Microsoft Teams têm falhas divulgadas
Uma nova brecha de segurança foi achada primeiro em celulares Google Pixel, mas pode afetar todos os celulares Android. A vulnerabilidade gera o escalonamento de privilégios para capturar dados sensíveis de usuários.
Segundo a Google, a falha CVE-2024-32896 foi resolvida em todos os aparelhos a partir de uma atualização de segurança. A instalação dela, porém, depende da ação do usuário e a liberação das fabricantes.
Riscos afetam celulares Android.
Além disso, vulnerabilidades no gerenciador de aplicações CocoaPods colocaram em risco plataformas populares de empresas como Apple, Microsoft, Snapchat, TikTok, Facebook.
Das três falhas de segurança encontradas pela empresa, uma tem classificação máxima em criticidade. Nela, o cibercriminoso seria capaz de "manipular o código-fonte e até inserir conteúdo malicioso nos apps".
As empresas citadas já corrigiram as vulnerabilidades, mas parceiras ainda precisam verificar a integridade de projetos de código-aberto.
6. Authy tem dados roubados em invasão; 33 milhões são expostos
O app de verificação em dois fatores Authy foi alvo de uma invasão reivindicada pelo grupo ShinyHunters. Cerca de 33 milhões de pessoas tiveram as informações roubadas e a empresa dona do serviço, Twilio, confirmou a exploração de uma brecha de segurança e recomenda que usuários atualizem os aplicativos para Android e iOS.
A interface do Authy.
Apenas o número do telefone desses usuários foi obtido pelos invasores — ou seja, sem outras informações cadastrais, financeiras ou que permitiriam o acesso às contas. Porém, essa informação pode ser usada para aplicação de golpes, como um phishing mais elaborado envolvendo o próprio Authy.
Essas foram as principais notícias de cibersegurança da semana. Além desses acontecimentos, um brasileiro foi condenado a 24 anos de prisão por estupro de vulnerável em ações coordenadas pela plataforma Discord.
