Dia: 8 de janeiro de 2024

Publicado em por Deixe um comentário

FALHA DE SEGURANÇA EM CREDENCIAIS COMPROMETE MILHÕES DE CONTAS NA 23ANDME

A empresa de testes genéticos 23andMe recentemente se viu no centro de uma questão de segurança de dados, com a divulgação de que cerca de 6,9 milhões de contas de usuários foram comprometidas. A questão surgiu após um incidente em outubro do ano passado, onde dados pessoais e sensíveis dos usuários foram acessados indevidamente.

De acordo com a 23andMe, o vazamento de dados não se deveu a uma falha direta em seus sistemas, mas sim ao uso, por parte dos usuários, de credenciais de acesso (senhas e e-mails) que já haviam sido expostas em outras violações de dados em serviços diferentes. Este método de ataque, conhecido como “credential stuffing”, aproveita-se de senhas e emails já comprometidos em outras plataformas para acessar contas em diversos serviços.

Após identificar o problema, a 23andMe agiu resetando as senhas dos usuários afetados e incentivando a adoção da autenticação de dois fatores (2FA) – uma prática agora obrigatória para todos os usuários do serviço.

Uma investigação interna revelou que os hackers conseguiram acessar os dados de milhões de usuários através do login em aproximadamente 14 mil contas. Este alcance extenso foi possível devido ao recurso opcional DNA Relatives da 23andMe, que permite aos usuários compartilhar informações genéticas e pessoais com outros usuários, potencialmente parentes distantes. A maioria dos usuários optou por compartilhar uma quantidade significativa de suas informações através deste recurso.

Este incidente levanta questões importantes sobre a segurança de dados em serviços online, especialmente aqueles que lidam com informações pessoais e sensíveis. Ressalta a necessidade de práticas robustas de segurança por parte dos usuários, como a utilização de senhas únicas para diferentes serviços e a ativação de medidas de segurança adicionais como a 2FA. Ao mesmo tempo, coloca em evidência a responsabilidade das empresas em proteger os dados de seus clientes e em orientá-los sobre práticas seguras de gerenciamento de informações pessoais.

Publicado em por Deixe um comentário

CONHEÇA OS RISCOS DA REVOLUÇÃO ROBÓTICA NA INDÚSTRIA

Um incidente foi registrado em uma renomada fábrica de veículos elétricos no Texas, EUA, onde um engenheiro foi brutalmente atacado por um robô automatizado. O trabalhador estava em meio ao processo de reprogramação de outros robôs quando foi surpreendido pelas garras metálicas da máquina, que lhe infligiram ferimentos sérios nas costas e no braço, deixando um rastro visível de sangue pela instalação. A situação só foi controlada após a intervenção de outro funcionário, que acionou o botão de emergência.

Este caso ilustra preocupações preexistentes sobre os perigos potenciais associados ao uso de robôs automatizados em ambientes de trabalho. Apesar de o incidente ter sido reportado sem indicação de afastamento prolongado do funcionário, surgiram alegações de que a empresa pode estar subnotificando tais ocorrências. Segundo informações de uma organização sem fins lucrativos voltada para a defesa dos trabalhadores, a realidade dos acidentes na fábrica pode ser mais grave do que os relatórios sugerem, incluindo até casos fatais.

Este evento acontece em um período em que a empresa está intensificando seus esforços na robótica avançada, como demonstrado pelo lançamento de uma nova versão de seu robô humanoide. Prometendo mais agilidade e uma aparência mais humanizada, este robô simboliza o compromisso da empresa com a inovação. No entanto, o acidente recente ressalta a importância crítica de considerar a segurança e a ética na integração de tais tecnologias no local de trabalho, bem como a necessidade de transparência e precisão nos relatórios de incidentes.

Publicado em por Deixe um comentário

SENHA FRACA? DESCUBRA COMO ISSO AFETOU MILHÕES NA CRISE DA ORANGE ESPANHA

A Orange Espanha, uma das principais operadoras de telecomunicações do país, enfrentou um significativo contratempo na última quarta-feira (3) devido a um sofisticado ataque cibernético. Este incidente, caracterizado pelo desvio de rotas de internet, foi viabilizado por uma falha de segurança surpreendentemente simples: a utilização de uma senha básica, “ripeadmin”, para um sistema crítico.

O incidente foi um exemplo clássico de sequestro de BGP (Border Gateway Protocol), uma técnica maliciosa onde o tráfego de internet é desviado através de anúncios falsos de prefixos de IP. Isso geralmente exige acesso a um roteador estratégico que conecta diferentes sistemas autônomos, típicos de provedores de internet e operadoras de telecomunicações.

A brecha de segurança ocorreu quando um indivíduo, identificado apenas como “Snow”, conseguiu acessar a conta da Orange Espanha no RIPE NCC, a autoridade responsável pela coordenação dos registros de internet na Europa, Oriente Médio e partes da Ásia Central. Para efeito de comparação, na América Latina e Caribe, o órgão equivalente é o LACNIC.

Com esse acesso não autorizado, Snow alterou as rotas de internet da Orange Espanha ao criar novas ROAs (Route Origin Authorizations), que são basicamente certificados que designam quais sistemas autônomos ou IPs estão autorizados a transmitir dados globalmente. A situação foi temporariamente controlada, mas não sem consequências.

A manipulação de Snow resultou na emissão de ROAs não relacionadas à Orange Espanha. Isso ativou um mecanismo de proteção do BGP chamado RPKI (Resource Public Key Infrastructure), que alertou provedores de backbone para rejeitar esses novos anúncios. Contudo, essa medida, em vez de proteger, acabou funcionando inadvertidamente como um ataque DDoS (Distributed Denial of Service) contra a rede da operadora, causando uma redução significativa no tráfego e instabilidade para os usuários.

A empresa de segurança cibernética Hudson Rock sugeriu que a senha pode ter sido comprometida através de malware. Curiosamente, o email e a senha usados no sistema do RIPE NCC foram encontrados em uma lista de credenciais vazadas, uma prática comum entre cibercriminosos para coletar informações.

Snow, por outro lado, alegou ter descoberto as credenciais por acaso, enquanto procurava dados de bots em vazamentos públicos. A hacker chegou a zombar da situação em uma publicação no X (antigo Twitter), oferecendo-se sarcasticamente para “corrigir” a segurança da conta da Orange Espanha.

Em resposta ao incidente, a RIPE NCC iniciou uma investigação e restabeleceu o controle da conta para a Orange Espanha, além de recomendar enfaticamente a todos os seus membros a adoção de autenticação de dois fatores como medida de segurança adicional. Este evento serve como um lembrete crucial da importância de práticas robustas de segurança cibernética em um mundo cada vez mais interconectado.

Publicado em por Deixe um comentário

TECNOLOGIA E O DIREITO: MULHER ENFRENTA ABORDAGENS POLICIAIS INJUSTAS EM SERGIPE

Em um incidente ocorrido em Aracaju, Sergipe, em novembro de 2023, uma auxiliar administrativa foi abordada duas vezes por policiais durante uma festa, devido a um erro em um sistema de reconhecimento facial. Inicialmente, a mulher foi erroneamente identificada como uma fugitiva da justiça por câmeras de reconhecimento facial. Durante a primeira abordagem por policiais civis à paisana, foi rapidamente esclarecido que ela não era a pessoa procurada. No entanto, poucas horas depois, ela enfrentou uma segunda abordagem mais agressiva por policiais militares, que a detiveram e questionaram sem qualquer formalidade ou explicação.

O equívoco só foi totalmente esclarecido após ela ser levada para uma central de comando policial, onde sua identidade foi finalmente confirmada. Apesar do reconhecimento do erro, em nenhum momento os oficiais envolvidos ofereceram um pedido formal de desculpas. O incidente ganhou atenção pública e resultou em promessas de revisão do sistema de reconhecimento facial e na implementação de métodos mais humanizados de abordagem policial.

O trauma vivenciado pela mulher foi significativo, deixando-a apreensiva e com medo de futuras identificações errôneas. Esse medo a levou a evitar eventos públicos e a buscar apoio psicológico. O caso ressalta as preocupações com a precisão e o uso ético de tecnologias de reconhecimento facial e sublinha a necessidade urgente de procedimentos policiais mais sensíveis e respeitosos.