15 de janeiro de 2021

As principais notícias da semana

A desk with documents, Old phone on the background

Ataques ao redor do mundo exploram vulnerabilidades públicas. GitHub planeja abandonar o uso de senhas para parte de suas operações. Brasileiros desconhecem seus direitos.

O que você vai ler hoje:

Ataque à cadeia de suprimentos do Vietnam compromete empresas privadas e agências do governo

Recentemente, foi descoberto que um grupo desconhecido de hackers realizou um ataque à cadeia de suprimentos contra empresas privadas e agências governamentais vietnamitas, inserindo malware dentro de um software oficial do governo.

O ataque tinha como alvo a Autoridade de Certificação do Governo do Vietnã (VGCA), responsável por emitir certificados digitais que podem ser usados ​​para assinar eletronicamente documentos oficiais.

Mas o VGCA não apenas emite esses certificados digitais; ele também fornece aplicativos específicos para o usuário, que os cidadãos, empresas privadas e funcionários do governo podem instalar em seus computadores a fim de automatizar o processo de assinatura de um documento.

Qualquer cidadão vietnamita, empresa privada e até mesmo outra agência governamental que queira enviar arquivos para o governo vietnamita deve assinar seus documentos com um certificado digital compatível com o VGCA. Logo, um ataque do tipo poderia fornecer aos criminosos controle sobre todo tipo de cidadão e setor.

Os hackers invadiram o site da agência e inseriram malware dentro de dois dos aplicativos oferecidos para download no site. Os dois arquivos eram aplicativos de 32 bits (gca01-client-v2-x32-8.3.msi) e 64 bits (gca01-client-v2-x64-8.3.msi) para usuários do Windows.

O malware não era muito complexo, apenas um wireframe para plugins mais potentes, disseram os pesquisadores. A ameaça não chegou a ser desenvolvida para além disso.

45 milhões de dados médicos de pacientes ao redor do mundo estão expostos online

Pesquisadores descobriram dois mil servidores contendo 45 milhões de imagens de raios-X e outros exames médicos expostos online pelos últimos doze meses, podendo ser acessados gratuitamente por qualquer pessoa, sem nenhuma forma de proteção.

A descoberta também revelou que não apenas informações pessoais confidenciais estavam desprotegidas, mas que agentes mal-intencionados também acessaram esses servidores e os infectaram com malware.

No processo a empresa responsável pela pesquisa não identificou nenhum provedor ou instituição médica que não tenha conseguido executar sistemas seguros.

Entre os dados – retirados de dispositivos de armazenamento online desprotegidos ligados a hospitais e centros médicos de todo o mundo – estavam 45 milhões de imagens de pacientes, expostas na Internet de forma pública em 90 servidores separados. Raios-X e tomografias computadorizadas eram passíveis de acesso graças a uma combinação de armazenamento NAS inseguro e um protocolo de transmissão de dados médicos da década de 1980.

As imagens expostas incluíram, em alguns casos, “até 200 linhas de metadados por registro”, que incluíam informações de identificação pessoal como nome, data de nascimento, endereço, etc., e informações pessoais de saúde, incluindo altura, peso, diagnóstico do paciente e assim por diante.

Além das preocupações óbvias com a proteção de dados, mais preocupante ainda foi a descoberta de que a empresa “não foi a primeira a dar uma olhada nesses servidores”. O relatório alega: “alguns dos [servidores] incluíam scripts maliciosos. A infecção de servidores desprotegidos é muito comum e geralmente é feita por meio de scripts de automação, utilizados, especialmente, para instalar mineradores de Bitcoin (ou similares).”

A empresa recomendou que as organizações médicas “garantissem a segmentação de rede adequada dos equipamentos de imagem médica conectados”, como um meio de evitar que pessoas mal-intencionadas acessem arquivos que não deveriam.

É o fim das senhas? Para o GitHub, sim

O GitHub, da Microsoft, planeja parar de aceitar senhas como forma de autenticar as operações do Git a partir de 13 de agosto de 2021, após um período de teste sem o uso de senha duas semanas antes.

A mudança planejada não afeta a capacidade do usuário de fazer login em uma conta do GitHub em um navegador da web usando nome de usuário, senha e talvez um segundo fator de autenticação, como uma senha enviada para um dispositivo móvel ou um código de uso único baseado em tempo (TOTP). Em vez disso, ele se aplica a operações Git – os comandos e APIs para interagir com repositórios de softwares Git hospedados no GitHub.

Em um comunicado compartilhado na quarta-feira (30), Matthew Langlois, engenheiro de segurança do GitHub, disse que a mudança segue um plano anunciado em julho e implementado no mês passado para exigir autenticação baseada em token para todas as operações de API no GitHub.com.

A partir de agosto de 2021, esse requisito se estenderá a todas as interações de linha de comando relacionadas ao Git, aplicativos de desktop que usam Git (exceto GitHub Desktop) e software ou serviços que acessam repositórios Git no GitHub por meio de senha.

No lugar de senhas, o GitHub exigirá autenticação baseada em token, o que significa um token de acesso pessoal para desenvolvedores ou um token de instalação de aplicativo para integradores. Aqueles que usam chaves SSH em vez de tokens poderão continuar a fazê-lo.

Maioria dos consumidores brasileiros não sabe se seus dados pessoais estão seguros

Os consumidores brasileiros, em sua maioria, desconhecem as regras de proteção de dados do país e não questionam as práticas de gerenciamento de dados pessoais das empresas, revelou um novo estudo realizado pela empresa de inteligência de crédito brasileira Boa Vista.

A pesquisa entrevistou mais de 500 consumidores entre agosto e setembro de 2020, e sugere que mais de 70% dos entrevistados não sabem o que é a Lei Geral de Proteção de Dados.

A grande maioria dos consumidores inquiridos (90%) considera que as suas informações pessoais não estão devidamente protegidas pelas empresas que as solicitam, enquanto 77% manifestaram preocupação com a potencial utilização indevida dos seus dados. Dos consumidores brasileiros pesquisados, 40% disseram ter sido vítimas de fraude.

Por outro lado, 53% dos consumidores brasileiros pesquisados ​​disseram que nem sempre tomam medidas para proteger sua privacidade antes de informar seus dados pessoais às empresas. Enquanto 88% dos entrevistados disseram que não se sentem confortáveis ​​em informar dados como número de RG ou CPF, 55% não questionam as empresas quando solicitadas por tais informações pessoais.

Por outro lado, uma pesquisa realizada pela Associação Brasileira das Empresas de Software (ABES) em parceria com a EY logo após a introdução da Lei Geral de Proteção de Dados no Brasil constatou que grande parte das empresas brasileiras ainda precisa se adequar às regras.

Já um estudo posterior da ABES e da EY constatou que o setor de tecnologia se saiu melhor, mas 56% das empresas do setor ainda precisavam se adequar às novas regulamentações.

Com cada vez mais ataques explorando vulnerabilidades e desinformação por parte de usuários, conhecer e assegurar seus direitos no que diz respeito à LGPD é essencial para se manter protegido.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?