[Carreira] Burnout e Boreout na Pandemia

Anchises
, 20/10/2021 | Source: AnchisesLandia- Brazilian Security Blogger

Durante a pandemia, a discussão sobre saúde mental começou a se espalhar pelas empresas e se tornou preocupação em várias delas. Isso porque, devido a necessidade de isolamento social e a adoção inapropriada de trabalho remoto, aumentaram os casos de stress e esgotamento emocional dos funcionários, causando fortes impactos na produtividade deles. Essa discussão sobre o burnout ganhou destaque

Serviço de VPN gratuito da China deixa exposto dados de mais de um milhão de usuários

Guilherme Petry
, 19/10/2021 | Source: The Hack

Serviço de VPN gratuito da China deixa exposto dados de mais de um milhão de usuários

Informações atualizadas de identificação pessoal (PII) de mais de um milhão de usuários do serviço gratuito de VPN chinês, Quickfox, estão expostas em um servidor Elasticsearch mal configurado, não criptografado e disponível na internet superficial, sem senha.

Segundo a WizCase, que revelou o caso, dados como nome completo, endereço de IP original, número de telefone, lista de outros softwares instalados no dispositivo do usuário, senhas criptografadas com padrão MD5 e outros ainda estão expostos, mesmo após a descoberta da empresa.

"Não era necessário senha ou credenciais de acesso para ver essas informações e os dados não foram criptografados. Com base nos registros expostos [...] A violação pode ter afetado pelo menos um milhão de usuários do Quickfox. Entramos em contato com a empresa, mas não recebemos resposta até o momento", escrevem os pesquisadores da equipe de pesquisa em cibersegurança da WizCase.

Além das informações de identificação pessoal dos usuários, também foram encontrados dados internos da plataforma de VPN e embora as senhas estejam criptografadas pelo padrão MD5, os pesquisadores explicam que esse é um algoritmo arcaico e pouco seguro.

"Enquanto as senhas eram criptografadas, MD5 é uma técnica de hashing arcaica que deixa as senhas dos usuários vulneráveis às técnicas modernas de quebra de senhas", escrevem.

Porque um serviço de VPN coleta esses dados?

Além da exposição de dados e da incapacidade da empresa de se comunicar com pesquisadores de segurança e resolver o problema, o motivo de um serviço de VPN coletar esses dados do usuário também não ficou claro.

"Não está claro porque a VPN estava coletando esses dados, já que é desnecessário para seu processo e não é uma prática padrão vista com outros serviços VPN. Não foi possível encontrar os termos de uso ou política de privacidade do Quickfox para confirmar se os usuários sabiam ou não das informações que o Quickfox está extraindo", escrevem os pesquisadores.

Os pesquisadores explicam que com acesso a esses dados, cibercriminosos podem vender ou distribuir esses dados em fóruns cibercriminosos, além de realizar diversas campanhas cibercriminosas, como phishings, fraudes, golpes e até assumir o controle da conta da vítima.

Outro conselho deixado pelos pesquisadores é que serviços de VPN gratuitos normalmente conseguem dinheiro para manter sua operação de outras formas não tão transparentes e até suspeitas.

"Certifique-se de pesquisar um serviço VPN antes de usá-lo. Em geral, se uma VPN não está lucrando por meio de serviços de assinatura, a VPN está lucrando por outros meios, geralmente coletando seus dados. Se você optar por usar uma VPN gratuita, certifique-se de compreender e se sentir confortável com as informações que eles coletam. Além disso, compartilhe apenas as informações necessárias para operar o programa", concluem os pesquisadores.


Fonte: WizCase.

Dados de toda população da Argentina são colocados a venda em fórum cibercriminoso

Guilherme Petry
, 19/10/2021 | Source: The Hack

Dados de toda população da Argentina são colocados a venda em fórum cibercriminoso

Após um ataque cibernético no mês passado, dados pessoais de toda a população da Argentina podem ter vazado do Registro Nacional de las Personas (Renaper) [algo como Cadastro Nacional de Pessoas, em português], órgão do Governo argentino responsável pela emissão de documentos de identificação pessoal e passaportes. Agora, os cibercriminosos estão vendendo esses dados em um fórum popular na internet superficial.

Segundo o The Record, os cibercriminosos garantem ter nome completo, endereço, data de nascimento, gênero, o equivalentes a RG e CPF, carteira de trabalho, fotos de todos os mais de 45 milhões de argentinos.

Dados de toda população da Argentina são colocados a venda em fórum cibercriminoso
Anúncio oferece um serviço de "consulta de qualquer cidadão argentino" por um valor não revelado. Foto: The Record.

O ataque provavelmente aconteceu no mês passado, mas a primeira evidência de prova só apareceu no começo deste mês, com a publicação de fotos dos documentos de identidades e dados pessoais de 44 personalidades públicas da Argentina. As fotos foram publicadas no Twitter, por uma conta recém-criada.

Os jogadores de futebol, Lionel Messi e Sergio Aguero; o presidente da Argentina, Alberto Fernández; além de vários jornalistas e figuras políticas argentinas estão entre as personalidades expostas no Twitter.

Depois da exposição no Twitter, os cibercriminosos anunciaram uma espécie de consulta de qualquer cidadão argentino nesse banco de dados, em um fórum cibercriminosos bastante popular na internet superficial.

Governo da Argentina nega vazamento

Conforme apurou o The Record, o Renaper reconhece um acesso não autorizado aos seus sistemas, mas nega que seus bancos de dados tenham sido inteiramente comprometidos e também nega qualquer possível vazamento de dados. Em um comunicado em resposta à exposição das personalidades argentinas no Twitter, o órgão disse que seu "banco de dados não sofreu qualquer violação ou vazamento de dados".

No entanto, explica que sua equipe de segurança investigou o caso e descobriu que "19 imagens [internas do Renaper] foram consultados no exato momento em que foram publicadas na rede social a partir de uma ligação VPN autorizada entre a Renaper e o Ministério de Saúde, e todas as imagens haviam sido recentemente consultadas a partir dessa mesma ligação".

"A referida ligação teria feito várias consultas individuais às bases de dados Renaper entre 15:01 e 15:55 através do serviço de validação de dados SID que, uma vez invocado o ID e o sexo da pessoa, retorna à pessoa que consulta todos os dados impressos no Documento Nacional de Identidade, incluindo imagem e outros dados pessoais, os quais foram imediatamente carregados na rede social Twitter, sem o consentimento do seu titular", conclui o Renaper no comunicado.

O The Record informa que conversou com o autor do anúncio no fórum cibercriminoso, que garante ter uma cópia de todo o banco de dados dos registros dos cidadãos argentinos, contradizendo o comunicado do Governo. Como prova disso, o cibercriminosos prometeu expor mais 1 ou 2 milhões de argentinos.


Fonte: The Record; Renaper.

Uma flanelinha para um produto da Apple é quase R$ 300

Ramon de Souza
, 19/10/2021 | Source: The Hack

Uma flanelinha para um produto da Apple é quase R$ 300

A Apple apresentou, nesta última segunda-feira (18), uma série de novos produtos para o seu portfólio global, incluindo novos AirPods e a nova família MacBook Pro com chips M1 Pro e M1 Max. Porém, a companhia acabou passando um papelão nas redes sociais ao lançar uma “novidade” que é simplesmente inacreditável — uma flanela para você limpar a tela de seus gadgets. Trata-se de um pedaço de pano que qualquer um pode comprar na lojinha de esquina por R$ 10, mas, na Apple, ela custa nada menos do que R$ 219.

Não, nós não cometemos um erro de digitação. O “Pano de Polimento”, que já pode ser comprado pelo site oficial da Maçã aqui no Brasil, possui tal valor absurdo e é descrito de forma simples (tem como descrevê-lo de forma complexa?): “Feito com material macio e não abrasivo, o Pano de Polimento pode ser usado com segurança e eficiência em qualquer tela Apple, incluindo o vidro nano-texture”. A descrição de “Conteúdo da caixa” reforça que isto é tudo o que você está comprando: “Pano de polimento”.

Uma flanelinha para um produto da Apple é quase R$ 300
O pano extraordinário da Apple (Captura de Tela/The Hack)

Quer rir mais? No campo “Compatibilidade”, a empresa de Tim Cook lista literalmente todos os seus aparelhos que ainda não são considerados vintage, incluindo todos os celulares desde o iPhone SE de primeira geração, todos os iPads, todos os MacBooks, todos os iMacs, todos os Apple Watches e o monitor Pro Display XDR. Como bem observado por um internauta, o paninho é compatível até com a família iPod — incluindo o iPod shuffle de quarta geração… Que nem possui uma tela a ser limpa.

Nós realmente ficamos sem entender se a Apple está simplesmente sendo sem noção ou se sua flanelinha realmente conta com alguma tecnologia secreta de limpeza inédita no mercado. É provável que a primeira teoria seja a mais correta e que o preço abusivo seja simplesmente pelo logotipo da Maçã no canto inferior direito do pedaço de pano. Bom, para quem já lançou um monitor cujo suporte de mesa foi vendido separadamente por R$ 999, cobrar R$ 219 por um trapo branco não é algo a se estranhar, não é mesmo?


Fonte: Apple

[Segurança[ Principais notícias de segurança em Setembro de 2021

Anchises
, 18/10/2021 | Source: AnchisesLandia- Brazilian Security Blogger

Esse é um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno

Mais de U$ 5 bilhões em Bitcoins pagos em resgate de dados em apenas seis meses

Guilherme Petry
, 18/10/2021 | Source: The Hack

Mais de U$ 5 bilhões em Bitcoins pagos em resgate de dados em apenas seis meses

O Departamento do Tesouro dos Estados Unidos (US Treasury) identificou que o equivalente a U$ 5,2 bilhões (R$ 28 bilhões) em Bitcoin foram utilizados como pagamentos de resgates de dados criptografados após infecção por ransomware.

Segundo o relatório, Financial Trend Analysis, publicado pelo Financial Crimes Enforcement Network (FinCEN), esse montante foi exigido apenas pelos 10 mais relevantes operadores de ransomwares do momento, que juntos operam um total de 177 carteiras de Bitcoin. No entanto, o relatório identificou um total de 68 grupos de ransomware, indicando que esse número pode ainda maior.

Mais de U$ 5 bilhões em Bitcoins pagos em resgate de dados em apenas seis meses
Capa do relatório, publicado pelo Financial Crimes Enforcement Network (FinCEN). Captura de tela: The Hack.

"O FinCEN identificou e analisou 177 carteiras de criptomoedas utilizadas para pagamentos relacionados a ransomwares associados às 10 variantes de ransomware mais comumente relatadas em SARs durante o período de revisão [...] O FinCEN identificou aproximadamente U$ 5,2 bilhões em transações de Bitcoin de saídas potencialmente vinculadas a pagamentos de ransomware", escreve o relatório.

É importante lembrar que esses números são referentes apenas aos pagamentos realizados em Bitcoin (ignorando as outras criptomoedas), durante os seis primeiros meses de 2021, apenas para os 10 maiores grupos de ransomware.

Embora o Bitcoin ainda seja o meio de pagamento mais utilizado pelos cibercriminosos, um dos daods do relatório indica um aumento da criptomoeda Monero nos pedidos de resgate. Monero é uma criptomoeda que promete ser menos rastreável. Diferente do Bitcoin, que é anônimo, mas totalmente rastreável.

"O FinCEN identificou o Bitcoin como o método de pagamento mais comum relacionado ao ransomware. Também observou que os resgates pedindo Monero aumentaram ligeiramente com relação ao ano passado", diz o relatório.

Esse relatório é importante para o momento atual da cibersegurança do Governo dos EUA, que está, desde o começo deste ano, motivado em reduzir a ameaça crescente do ransomware.

Na semana passada, os EUA se reuniu com representantes de cerca de 30 países para pedir apoio internacional no combate ao ransomware. No entanto, a Rússia e a China, países que historicamente protegem seus cibercriminosos, não foram convidados.


Fonte: Departamento do Tesouro dos Estados Unidos.

Eis uma forma estupidamente simples de saber quem vende seus dados na web

Ramon de Souza
, 18/10/2021 | Source: The Hack

Eis uma forma estupidamente simples de saber quem vende seus dados na web

Todos nós sabemos que o compartilhamento de dados pessoais e até mesmo sensíveis é um grande problema na internet contemporânea. Informações são o novo petróleo — elas podem ser usadas por empresas para levantar análises estatísticas, tomar decisões estratégicas, elaborar campanhas de marketing direcionado e até mesmo alimentar redes neurais de inteligência artificial. As legislações de proteção de dados vieram para respaldar o direito de privacidade dos consumidores, mas nem sempre elas são eficientes.

Em algumas ocasiões, nós realmente fazemos um cadastro em algum site e consentimos com o compartilhamento dos dados com terceiros; em outros cenários, porém, sequer somos avisados que tais informações podem ser vendidas ou compartilhadas com outras empresas. Existe um mercado inteiro de data brokers e, às vezes, nossos dados são comercializados profissionalmente em lotes sem que sequer saibamos. Porém, uma dica simples pode lhe ajudar a pegar essas companhias sacanas no flagra.

Um truque bastante engenhoso que vem sendo compartilhado no TikTok e em outras redes sociais lhe permite saber qual empresa está compartilhando seus dados sem a sua alteração. Digamos que você esteja se inscrevendo nos boletins da empresa fictícia Hacking Corp. Basta que, no campo de nome, você utilize um identificador único para tal companhia — por exemplo, João H. C. da Silva. Caso no futuro uma empresa desconhecida lhe envie um email lhe chamando assim… Bom, saberemos o que aconteceu.

Eis uma forma estupidamente simples de saber quem vende seus dados na web
Exemplo de como os identificadores lhe ajudam (Captura de Tela/The Hack)

E assim continuamos. Vai fazer compras em uma loja virtual chamada Armazém dos Celulares (novamente, nome fictício)? Cadastre-se como João A. C. da Silva. E aquele jornal chamado The Gibson? Cadastre-se como João Gibson da Silva. Sempre que algum terceiro lhe abordar usando esses nomes únicos, você saberá que quem compartilhou seus dados sem a devida autorização foi a Hacking Corp, a Armazém dos Celulares ou o The Gibson. É uma dica simples e intuitiva.

Claro, o truque não funciona em todos os lugares — você não vai querer desfigurar seu nome com tais identificadores em redes sociais ou serviços online de alta criticidade como plataformas governamentais. Ainda assim, trata-se de uma arma poderosa para garantir seus direitos na web. E aí, curtiu?


Atento é vítima de ransomware; operações no Brasil estão paralisadas

Guilherme Petry
, 18/10/2021 | Source: The Hack

Atento é vítima de ransomware; operações no Brasil estão paralisadas

A Atento, uma multinacional de terceirização de atendimento telefônico e contact center, com sede na Espanha, mas com uma enorme operação na América Latina, revelou, no domingo (17), que sofreu um ataque cibernético que paralisou sua operação no Brasil.

A informação foi publicada em um comunicado aos investidores da bolsa de Nova York, onde a empresa vende ações, através da sigla ATTO NYSE. Segundo o comunicado, o ataque comprometeu apenas a empresa no Brasil e que sua equipe de segurança já está trabalhando para restabelecer os sistemas afetados. Além disso, também foi informado que não foram detectados vazamentos de dados.

"Não encontramos evidências de vazamento de dados de clientes neste momento. Nossas investigações ainda estão em andamento e trabalharão em estreita colaboração com as autoridades competentes. No momento desta comunicação, o escopo deste incidente está limitado a algumas operações brasileiras e estamos trabalhando para restaurar o serviço aos nossos clientes o mais rápido possível, sempre garantindo a máxima segurança", conclui o comunicado.

Ransomware LockBit 2.0

Segundo o editor de cibersegurança do TecMundo, Felipe Payão, a empresa foi infectada por um ransomware desenvolvido pelo grupo cibercriminoso LockBit 2.0 (mesmo grupo que comprometeu a Accenture, em agosto deste ano).

O jornalista publicou uma foto da página de divulgação de novas vítimas do LockBit 2.0, que indica que a empresa tem até 6 dias para efetuar o pagamento, com a ameaça de ter os dados dos servidores infectados vazados ou vendidos, caso não efetuem o pagamento. O valor do resgate exigido pelos cibercriminosos não foi revelado.

Atento é vítima de ransomware; operações no Brasil estão paralisadas
Página do grupo cibercriminoso na dark web, onde são reveladas as novas vítimas e os dados dela, caso não efetuem o pagamento. Foto: Felipe Payão.

Segundo a página corporativa da empresa no LinkedIn, só no Brasil são cerca de 75 mil funcionários. Em 2019, a Atento foi reconhecida pelo prêmio Great Place to Work como uma das 25 melhores empresas para se trabalhar no mundo e na América Latina.

A The Hack entrou em contato com uma fonte interna, que confirmou que todos os funcionários de atendimento foram dispensados. Também entrou em contato com a assessoria de imprensa, mas ainda não obteve resposta.


Fontes: Convergência Digital; Felipe Payão.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Ramon de Souza
, 18/10/2021 | Source: The Hack

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

A The Hack descobriu, com exclusividade, que uma falha estrutural na solução de sistema de informação geográfica ArcGIS expôs — e possivelmente continua expondo — dados sigilosos de milhares de empresas e órgãos governamentais ao redor do mundo. Nossa investigação partiu de uma denúncia de Victor Barone, geógrafo especializado nesse tipo de aplicação e que percebeu alguns problemas graves na forma como a ferramenta em questão funciona, estudando o caso alertando as vítimas desde junho deste ano. Barone contou com a ajuda de Felipe da Rocha e Rodrigo Peixoto Ferrão, também geógrafos.

O ArcGIS é, basicamente, um ecossistema de software, servidor e sistema online para gerenciamento de dados geográficos lançado em 1999 pela ESRI, uma multinacional de origem californiana que hoje conta com 4 mil funcionários espalhados em 73 países. Ao longo das últimas décadas, a solução evoluiu para oferecer uma série de outros funcionalidades, incluindo mapeamento de informações, construção de sites, desenvolvimento de apps e coletas de campo através de formulários criados em um spin-off chamado Survey123.

Sendo líder no segmento de sistemas de informação geográfica, o ArcGIS é usado por mais de 350 mil organizações ao redor do mundo (incluindo instituições governamentais, universidades, empresas privadas e 20 mil prefeituras) —; 50% das companhias do Fortune 500 utilizam a ferramenta, que não é nada barata e cuja licença pode exceder a marca dos milhões de reais. Porém, como constatamos com a colaboração de Barone, uma série de falhas simples na maneira como ele foi construído estão causando vazamentos de dados (pessoais, sensíveis e confidenciais) para uma grande parte desses clientes.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Em poucas semanas, a The Hack encontrou informações privilegiadas sobre a Polícia Militar de São Paulo (incluindo endereços de policiais), a Polícia Militar de Santa Catarina (com mapeamento completo do crime organizado no estado e listagem detalhada de mortes de traficantes), o Grupo Pão de Açúcar (com listas de pedidos incluindo o valor da compra e endereço de entrega) e a operadora Claro (com ordens de serviço de manutenção de internet e telefonia residencial, além de dashboards com informações estratégicas de operação). Outras vítimas brasileiras incluem o Ministério Público do Rio de Janeiro (MPRJ), a Prefeitura de Lucas do Rio Verde, a Vale e a Petrobras.

Dados de policiais militares

O maior problema no ArcGIS é que, quando você instala um ambiente para um projeto, o sistema por padrão mantém uma API Rest pública que pode ser encontrada através de uma busca no Google ou até mesmo pelo site oficial da ferramenta, visto que cada mapa possui um identificador único que pode ser consultado através do campo de busca na página do software. O mesmo ocorre com os formulários criados pelo Survey123; é possível visualizar todas as respostas enviadas pelos internautas e até enviar arquivos sem autenticação.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Como exemplo, podemos utilizar um formulário de contato encontrado no site do Centro de Altos Estudos de Segurança da Polícia Militar de São Paulo (CAES PMSP) para policiais interessados em participar de webinários da corporação. Ao simplesmente copiar o identificador (presente na URL do questionário) e pesquisá-lo no site do ArcGIS, encontramos todas as respostas submetidas, incluindo nome completo, RG, CPF, email profissional, cargo/posto, telefone e endereço de mais de mil policiais (em diferentes formulários para diferentes eventos).

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Como citamos anteriormente, o mais assustador é que, em cada uma dessas respostas, há um campo de “Fotos e Arquivos” através do qual o internauta pode fazer upload de um documento. Caso tal campo tenha algum conteúdo, poderíamos baixá-lo; caso não tenha, conseguimos enviar um arquivo infectado com malware, por exemplo, para atingir a máquina do responsável por aquele questionário. Novamente — é importante frisar que tudo isso pode ser feito sem qualquer necessidade de autenticação.

Com a ajuda de Barone, encontramos uma série de outros clientes do ArcGIS que, por conta de configurações inadequadas em seu ambiente, estavam sofrendo com vazamentos de dados. A Secretaria de Saúde da Prefeitura de Maricá (RJ), por exemplo, possuía uma série de tabelas contendo dados cadastrais de cidadãos — incluindo uma folha espelho com nome, CPF, data de nascimento, estado civil, raça/cor, endereço, histórico de doenças (úlcera, anemia, depressão, incontinência urinária), cirurgias prévias, se é fumante ou alcoólatra, escolaridade e situação de moradia de quase 19 mil idosos do município.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Na esfera privada, dois exemplos notáveis que presenciamos foi o da operadora Claro, que mantinha em um mapa os registros de diversas ordens de serviço de clientes de internet residencial, incluindo o login do técnico, tipo de chamado (instalação, reinstalação, troca de WiFi, manutenção etc.), endereço, tempo de deslocamento estimado e real, tempo de serviço estimado e real, nome completo do consumidor e assim por diante. No total, identificamos 41,6 mil ordens de serviço da companhia.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

No caso do Grupo Pão de Açúcar (GPA), o que encontramos foi uma lista com mais de 118 mil registros de entregas de mercadoria a domicílio pela plataforma James Delivery, novamente com nome do cliente, endereço de entrega, valor da compra, valor do frete e horário do delivery. Outros ambientes ArcGIS desprotegidos encontrados incluem os do Programa de Monitoramento Quali-Quantitativo Sistemático (PMQQS) da Fundação Renova, da Vale, da Petrobras, do Ministério Público do Rio de Janeiro (MPRJ) e do Departamento de Geotecnologias da Prefeitura de São Lucas do Rio Verde (MT).

RG e dados de traficantes

Porém, o caso mais perturbador que a The Hack presenciou durante a investigação foi o Agência Central de Inteligência (ACI) da Polícia Militar de Santa Catarina (PMSC), que manteve uma série de mapas públicos contendo dados sigilosos do crime organizado no estado — alguns deles, inclusive, feitos em parceria com a Agência Brasileira de Inteligência (Abin) e que deveriam ser acessíveis apenas agentes de lei envolvidos em alguma dessas duas instituições.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Um dos mapas, o “Áreas de Influência”, revela quais regiões de Santa Catarina são dominadas por cada facção criminosa: Primeiro Comando da Capital (PCC) ou Primeiro Grupo Catarinense, com direito aos tipos de atividades mais comuns em cada local. Outro mapa listava as mortes violentas de traficantes, com detalhes como afiliação criminosa da vítima, nome, vulgo (apelido usado no mundo do crime), idade, RG, causa da morte e dia e horário no qual o corpo foi encontrado.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Não para por aí: o mapa “Roubo e Furtos Contra Instituições Financeiras” lista crimes identificados em bancos do estado, com direito ao valor arrecadado pelos meliantes. A The Hack recebeu até mesmo imagens de um mapa adicional com informações detalhadas de vários criminosos detidos, com direito a fotografia, nome completo, vulgo, CPF e local no qual ele está detido.

O que a ESRI tem a dizer?

A The Hack entrou em contato com a ESRI para alertar a respeito de tais falhas estruturais e entender exatamente como a companhia e seus eventuais revendedores treinam seus clientes a respeito de questões técnicas sobre segurança da informação. De acordo com a assessoria de imprensa global da marca, privacidade de dados é uma de suas principais preocupações e garantiu que as questões levantadas por Barone, Felipe e Rodrigo serão levadas em conta no desenvolvimento do produto.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

“O Survey123 usa um modelo em que as pesquisas são privadas por padrão e, portanto, seguras por padrão; no entanto, os usuários de privilégios elevados podem optar por substituir os padrões para abrir as coisas ainda mais para o público em geral. O Survey123 tem mensagens de aviso, uma documentação rigorosa para compartilhamento apropriado, tal como uma ferramenta gerenciada pelo usuário para sinalizar configurações fora de alinhamento com as recomendações de melhores práticas”, afirmou a ESRI.

“Também revisamos e adicionamos continuamente recursos para melhorar o controle do usuário. Portanto, obrigado por chamar nossa atenção para que possamos incorporar esses casos de uso como parte de nosso roteiro para salvaguardas, guias, treinamento e comunicações com o cliente mais fortes”, conclui a assessoria.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Revenda no Brasil garante suporte

Focando em nosso país, também entramos em contato com a presidência da Imagem, única revendedora do ArcGIS no Brasil e responsável por todos os contratos citados anteriormente. “A questão da segurança da informação é muito importante para nós, e é um prazer ter a oportunidade de dar visibilidade ao nosso trabalho para apoiar nossos clientes a terem sucesso em seus negócios e a atuarem em um mundo mais sustentável”, explica Ana Claudia Fagundes Brum, diretora executiva da distribuidora. Confira o posicionamento:

“Temos uma equipe de sucesso do cliente que orienta proativamente nossos clientes no uso das soluções para atender às suas metas de negócios. Temos investido num suporte robusto com uma equipa de suporte especializada na plataforma ESRI, que está à disposição de todos os nossos clientes. Adicionalmente, todos os nossos clientes têm acesso a um vasto volume de formação online para os orientar nas melhores práticas de utilização das ferramentas adquiridas, bem como acesso a vários blogs e informações técnicas.

Com o advento da Lei Geral de Proteção de Dados (LGPD), implementamos um plano abrangente que incluiu o treinamento de todos os nossos funcionários sobre o impacto da lei na forma como gerenciamos dados, bem como a revisão de todos os nossos processos e a garantia de que somos 100% aderentes a LGPD. Incorporamos o tema em nosso onboarding para que todos os novos colaboradores também sejam treinados. Também estamos nos preparando para as certificações de segurança ISO 27001:2013.

Sempre que somos informados de que nossos clientes expuseram informações sigilosas na internet, nossa equipe os contata para validar se isso ocorreu de forma intencional ou acidental, e colocamos nossos profissionais à disposição para dar suporte a esta situação.”

A resposta dos órgãos públicos

Apesar da reação positiva da ESRI e da Imagem em relação às denúncias e das garantias que ambas deram a respeito da segurança do ecossistema ArcGIS, parece que, aos clientes da solução, a correta forma de configurar ambientes instalados não é repassada de maneira tão simples assim. A The Hack conversou com diversos clientes afetados pelo problema. No caso da Prefeitura de Lucas do Rio Verde, a aquisição da licença se deu em 2017, quando haviam profissionais capacitados para operar a plataforma; posteriormente, em 2020, um novo contrato foi firmado para ampliar as ferramentas usadas.

“Sobre as questões que envolvem a segurança da informação, na demonstração foi indicado que todos os serviços online estariam bem protegidos em servidores em nuvem, seguindo todos os padrões e boas práticas de segurança da informação. Sobre treinamentos, sim, foram ofertados treinamentos online e vídeos tutoriais sobre as melhores práticas no uso das ferramentas contratadas”, explica um representante do município, em entrevista via email. Ao ser notificada por Barone, a prefeitura percebeu que haviam dados sensíveis — como certidões de óbito — junto com dados públicos.

Nossa reação imediata foi a de retirar todos os projetos momentaneamente do ar para revisão. Depois, os colocamos novamente no ar com dados compartilhados todos revisados e em conformidade. Não sei responder se foi entrado em contato com a empresa contratada Imagem Geosistemas, pois o Departamento de Geotecnologias não faz mais parte do Departamento de Tecnologia da Informação desde o ano de 2019”, explica o executivo, antes de avaliar o processo de vendas da Imagem.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Como profissional de TI, acredito que deveria estar incluso no pós-venda de produtos como os da referida empresa uma verificação automatizada de dados sensíveis e de boas práticas de tecnologia, bem como em relação a segurança da informação hospedada em seus servidores, e como os seus clientes as utilizam. Dessa forma, seriam mitigados possíveis problemas como os ocorridos”, finaliza.

Trata-se de uma opinião similar à de Felipe Gomes Vieira Ferreira, da Diretoria de Gestão do Conhecimento (DGC) do MPRJ. Em entrevista concedida à The Hack, ele explicou que o ArcGIS foi adquirido para uso sobretudo de dados georreferenciados de natureza pública, mas que as denúncias de Barone levou o órgão a identificar um problema em um formulário voltado aos populares que desejam denunciar incidentes de falta de água. Nesse questionário, o cidadão poderia anexar sua conta de consumo contendo dados pessoais.

“O dano foi leviano, pois não existiam outros dados sensíveis na plataforma. Nós imediatamente acionamos a Imagem e eles prestaram um suporte adequado para que pudéssemos fechar essas APIs”, diz, contradizendo a revendedora e garantindo que os ambientes criados são públicos por padrão. “Eu considero isso uma falha de implementação da própria plataforma. Se fosse eu [no lugar da ESRI], escolheria o privacy by design e daria ao usuário a possibilidade de publicar os dados. Isso ficou pouco claro para os nossos técnicos que estavam trabalhando na implementação”.

Felipe confirma que, de fato, há uma grande literatura e recursos educacionais disponíveis para os usuários do ArcGIS que englobam a segurança da informação. “Sim, os materiais são abundantes. Mas, dessa maneira, eu precisaria esperar que todo o meu corpo de técnicos estivessem bem treinados com as particularidades da plataforma para evitar esse tipo de problema. A questão aqui é que, por desenho, as informações não estarem sob controle e cerceadas antes de serem publicadas”, finaliza.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Os ambientes da Prefeitura de Lucas do Rio Verde e do MPRJ já estavam devidamente protegidos no momento em que esta reportagem foi escrita.

E as empresas privadas?

A The Hack também procurou a Claro e o Grupo Pão de Açúcar a respeito do tema, mas ambas as empresas se recusaram a avaliar as peculiaridades do ArcGIS e a qualidade do processo de venda para impedir vazamentos. Confira o posicionamento da Claro:

"A Claro informa que o endereço em questão já está desabilitado e estão sendo tomadas providências para a apuração do caso. Destacamos que é política da Claro a proteção da sua infraestrutura, de acordo com as boas práticas, de modo a evitar acessos indevidos".

Confira o posicionamento do Grupo Pão de Açúcar:

“Com relação ao fato relatado, o GPA informa que detectou que uma parte reduzida de informações relacionadas a pedidos do e-commerce (como número e valor de pedido, nome e logradouro de alguns clientes) ficaram expostas em acessos não logados em uma solução web utilizada pela Companhia para estudos de geolocalização, devido a problemas de configuração destes dados. Dados bancários ou documentos de clientes não foram expostos.

Como ação imediata, assim que detectada a falha, o sistema foi desabilitado, a fim de bloquear o acesso e evitar consultas indevidas a informações internas. Tal exposição de dados não leva a risco significativo aos clientes, já que as informações eram de baixa criticidade.

De toda forma, foi realizada uma minuciosa apuração interna e tomadas providências como melhoria de rotinas de prevenção e controles já existentes. Vale salientar que a operação não foi de nenhuma forma impactada e esse episódio não foi resultado de invasão ao ambiente sistêmico da empresa.”

Ambos os ambientes também foram protegidos antes da publicação desta reportagem.

Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo

Um problema global

Embora tanto a ESRI quanto a Imagem tenham ficado a par dos problemas relatados após a denúncia da The Hack, é importante ressaltar que diversos outros clientes do ArcGIS podem estar sofrendo do mesmo problema de exposição de dados neste exato momento; trata-se de uma questão a nível de, por exemplo, um ambiente Microsoft SharePoint mal configurado.

Dentre outros clientes potencialmente afetados, podemos citar a Prefeitura de Maricá (RJ, que ignorou os avisos de Barone), a Prefeitura de Barra Mansa (RJ), a Prefeitura de Contagem (MG), a Universidade Johns Hopkins e o Homeland Infrastructure Foundation-Level Data (HIFLD), órgão estadunidense que reúne informações de agências do governo dos EUA, empresas nacionais e da União Europeia.

Em suma, isso significa que estamos falando de um problema que afeta não apenas o Brasil, mas o mundo inteiro. Por aqui, as companhias afetadas podem ser penalizadas pela LGPD;  no resto do mundo, temos legislações específicas para cada país ou agrupamento geográfico, como a europeia General Data Protection Regulation (GDPR) e a californiana California Consumer Privacy Act (CCPA). A The Hack ainda está, em parceria com Barone, apurando a real extensão do problema e entendendo a questão da segurança da informação de dados geográficos; continuaremos acompanhando e publicando conteúdos sobre o tema nas próximas semanas.


Raio-X: afinal, por que o fator humano é tão suscetível a ciberameaças?

Ramon de Souza
, 18/10/2021 | Source: The Hack

Raio-X: afinal, por que o fator humano é tão suscetível a ciberameaças?

Proteção de endpoint, firewall, VPN, gerenciador de senhas, autenticação de dois fatores… Quem trabalha com segurança da informação está careca de saber que de nada adianta investir rios de dinheiro em soluções tecnológicas caso o colaborador não esteja devidamente condicionado a adotar uma postura segura no ambiente de trabalho. Um mínimo deslize, como abrir um email phishing ou entrar em um site malicioso, já pode ser o suficiente para que ele contraia um malware — e, pior, infecte toda a rede corporativa.

Durante anos, o ser humano foi considerado o elo mais fraco da segurança da informação. Essa afirmação pode ser um pouco exagerada e até mesmo ofensiva, mas há um fundo de verdade nela: diferente de um software, que sempre fará apenas (e nada mais, nada menos) aquilo que ele foi desenvolvido para fazer, os seres humanos são imprevisíveis. Afinal, temos emoções, consciência e personalidade — algo que, infelizmente, os criminosos cibernéticos podem se aproveitar para elaborar ataques.

Não é à toa que a engenharia social, embora seja a mais antiga, continua sendo a mais eficiente para os meliantes virtuais. Esses malfeitores sabem que é possível manipular o psicológico de alguém, aproveitar-se de sua falta de conhecimento técnico, abusar de sua ingenuidade e explorar uma tendência natural do ser humano — a conveniência — para convencer uma vítima a agir de acordo com seus próprios objetivos. E tais objetivos podem variar de um simples clique em um link ou o download de um arquivo com vírus.

Raio-X: afinal, por que o fator humano é tão suscetível a ciberameaças?

Analisando em detalhes

Se a conscientização do fator humano já era importante antes da pandemia do novo coronavírus (SARS-CoV2), tal crise agravou ainda mais a situação. Afinal, os colaboradores estão trabalhando remotamente, muitas vezes usando dispositivos próprios para acessar o ecossistema corporativo. Dessa forma, as chances de que um funcionário acabe baixando um arquivo malicioso aumentam ainda mais — isso sem falar, é claro, de interferências externas como roubo, furto ou mal funcionamento súbito do aparelho em questão.

Para que você entenda a fundo a importância de trabalhar o fator humano, a Compugraf, em parceria com a Check Point, lançou o “Raio-X: Vulnerabilidades do Fator Humano, um site interativo que explica em detalhes a fraqueza do ser humano quando o assunto é segurança da informação. Trata-se de uma análise aprofundada das características que tornam seu colaborador vulnerável e dicas para garantir que eles se mantenham protegidos contra as ameaças cibernéticas do cotidiano.

Acesse o conteúdo na íntegra e confira — é totalmente gratuito!