Tópicos | cibersegurança

Estão abertas as inscrições do programa Hackers do Bem para a formação de profissionais em cibersegurança. As aulas são gratuitas na modalidade de educação à distância. A proposta é capacitar 30 mil profissionais.

As aulas serão disponibilizadas a partir do próximo dia 22 de janeiro. As inscrições podem ser feitas pela página do programa.

##RECOMENDA##

Hackers do Bem

O Hackers do Bem tem como objetivo desenvolver recursos humanos em cibersegurança, portanto, não é necessário ter experiência para se inscrever no curso.

A previsão é que a formação seja concluída no fim de 2025. Porém, a cada etapa concluída, serão fornecidos certificados para que os alunos possam ter oportunidades no mercado de trabalho.

O foco é formar estudantes do ensino técnico, médio e superior, tanto aqueles que já buscam trabalhar em áreas próximas quanto os que não tem nenhuma familiaridade com tecnologia.

O programa é financiado com recursos do Ministério da Ciência, Tecnologia e Inovação (MCTI), sendo executado pela Rede Nacional de Ensino e Pesquisa (RNP) em parceria com o Serviço Nacional de Aprendizagem Industrial de São Paulo (Senai-SP).

O governo federal editou Decreto, publicado no Diário Oficial da União (DOU) desta quarta-feira, 27, que institui a Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber).

A PNCiber tem o objetivo de orientar a atividade de segurança cibernética do País e, segundo o texto, ela terá como princípios: a soberania nacional e a priorização dos interesses nacionais; a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação; a prevenção de incidentes e de ataques cibernéticos, em particular aqueles dirigidos a infraestruturas críticas nacionais e a serviços essenciais prestados à sociedade; a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos; a educação e o desenvolvimento tecnológico em segurança cibernética; a cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética; e a cooperação técnica internacional na área de segurança cibernética.

##RECOMENDA##

São instrumentos da PNCiber a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança.

O CNCiber, instituído pelo Decreto, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, terá objetivo de acompanhar a implementação e a evolução da PNCiber. Compete ao CNCiber: propor atualizações para a PNCiber, a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança; avaliar e propor medidas para incremento da segurança cibernética no País; formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a incidentes cibernéticos; propor medidas para o desenvolvimento da educação em segurança cibernética; promover a interlocução com os entes federativos e a sociedade em matéria de segurança cibernética; propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e manifestar-se, por solicitação do Presidente da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, sobre assuntos relacionados à segurança cibernética.

A participação no CNCiber e nos grupos de trabalho, de acordo com o Decreto, será considerada prestação de serviço público relevante e, portanto, não será remunerada. O Gabinete de Segurança Institucional da Presidência da República presidirá o CNCiber e ficará com a função da secretaria-executiva do CNCiber. Também deverão compor o conselho um representante da Casa Civil, da Controladoria-Geral da União, do Ministério da Ciência, Tecnologia e Inovação; Ministério das Comunicações; Ministério da Defesa; Ministério do Desenvolvimento, Indústria, Comércio e Serviços; Ministério da Educação; Ministério da Fazenda; Ministério da Gestão e da Inovação em Serviços Públicos; Ministério da Justiça e Segurança Pública; Ministério de Minas e Energia; Ministério das Relações Exteriores; do Banco Central; da Agência Nacional de Telecomunicações - Anatel; do Comitê Gestor da Internet no Brasil; três de entidades da sociedade civil com atuação relacionada à segurança cibernética ou à garantia de direitos fundamentais no ambiente digital; três de instituições científicas, tecnológicas e de inovação relacionadas à área de segurança cibernética; e três de entidades representativas do setor empresarial relacionado à área de segurança cibernética.

As reuniões do CNCiber ocorrerão, em caráter ordinário, trimestralmente, podendo ser convocadas pelo presidente do conselho em caráter extraordinário.

A NTT, empresa de infraestrutura e serviços de tecnologia da informação (TI), em parceria com a organização Latam Woman in Cybersecurity, organizou o curso de capacitação para mulheres interessadas na área de segurança cibernética. Serão 500 vagas disponibilizadas de forma gratuita e on-line.

O curso ‘SC-900: Microsoft Security, Compliance, and Identity Fundamentals’ terá a modalidade de autoestudo com um treinamento em português e espanhol, com o objetivo de alcançar o mercado latino-americano. As aulas serão em live e, ao fim da trajetória, as participantes terão acesso ao exame de certificação SC-900.

##RECOMENDA##

A capacitação é exclusiva para mulheres e terá conceitos sobre cibersegurança, conformidade e identidade em nuvem, zero trust e mais. As inscrições estão abertas até o dia 31 de dezembro, as alunas terão 60 dias para completar toda trilha de autoestudo na plataforma. Os interessados devem acessar o site da NTT para participar do programa. 

Na última quinta-feira (24), a empresa cearense Trust Control participou do Security Leaders Recife, realizado na capital pernambucana com o objetivo de promover o encontro entre especialistas e gestores em segurança cibernética. Na ocasião, a empresa compartilhou algumas de suas soluções para desafios relacionados à proteção de informações sigilosas de clientes corporativos. 

O gerente comercial da Trust, Raphael Salgado Ferreira Lustosa, foi um dos debatedores do painel com o tema “Conscientização e Cultura Cyber: Como garantir a resiliência cibernética protegendo dados e pessoas?”. O Security Leaders está em caravana pelo Brasil e já passou, neste ano, nas cidades de Brasília, Rio de Janeiro, Belo Horizonte e Porto Alegre.

##RECOMENDA##

Outras três edições do Security Leaders ainda serão realizadas, sendo duas em São Paulo e outra em Fortaleza, no mês de novembro, da qual a Trust Control também participará. A empresa também confirmou presença em dois eventos de destaque no setor: o Mind The Sec e o Devops Fortaleza, ambos marcados para setembro.

A invasão de hackers ao sistema do Tribunal Superior Eleitoral (TSE) e do Ministério da Saúde reforçam a imagem do Brasil como um país vulnerável a ataques e golpes cibernéticos. Nessa quinta-feira (18), uma audiência na Comissão de Serviços de Infraestrutura do Senado debateu sobre o reforço da cibersegurança da administração pública. 

Terceiro país mais digitalizado do mundo, atrás dos Estados Unidos e Canadá, o Brasil rege a cibersegurança apenas por alguns decretos. O secretário de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional, Luís Fernando Moraes da Silva, apontou que o GSI defende a criação de uma Política Nacional de Cibersegurança através de um Projeto de Lei (PL), que deve ser enviado para apreciação do Congresso. 

##RECOMENDA##

"Queremos a produção de uma legislação que seja o mais inclusiva possível e que possa ser um instrumento útil, e não mais uma peça legal que não venha a atingir o seu objetivo", alertou o secretário. 

A proposta será debatida com o Palácio do Planalto no próximo dia 15. O texto prevê a criação da Agência de Segurança Cibernética (ANCiber) para a promoção do "desenvolvimento, regulação e fiscalização das atividades de cibersegurança no país". O PL também deve sugerir a criação de um Gabinete de Gerenciamento de "Cibercrises" na Presidência da República e um Comitê Nacional de Cibersegurança. O projeto tem custo estimado em R$ 500 milhões a serem aplicados em cinco anos. 

O diretor de Avaliação de Segurança da Informação da Unidade de Auditoria Especializada em Tecnologia da Informação do Tribunal de Contas da União (TCU), Carlos Renato Araújo Braga, apresentou estudos que comprovam a falta de investimentos e de atos normativos para impedir ataques virtuais na administração pública."A nossa conclusão é que o jogo está desequilibrado, estamos mais fracos do que eles [...] Somos o país que mais paga resgate de ransomware do mundo. Estamos em um lugar muito desconfortável", pontuou Braga.  

A vulnerabilidade permite ataques em grande escala, inclusive orquestrados por outros países. Esse tipo de atividade pode prejudicar serviços essenciais como o de telecomunicações e o abastecimento de energia. Sistemas dos governos estaduais e municipais ainda são mais frágeis e podem ser uma porta de entrada mais fácil para os cibercriminosos. 

A audiência foi presidida pelo senador Veneziano Vital do Rêgo (MDB) e também teve a participação de  José Luiz Medeiros, representante da Associação Brasileira de Governança Pública de Dados (Govdados); Fabrício Mota, conselheiro titular no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; Arthur Pereira Sabbat, diretor da Autoridade Nacional de Proteção de Dados (ANPD); Humberto Ribeiro, professor do Centro de Prevenção de Incidentes Cibernéticos (Ciberlab); e Leonardo Gustavo Ferreira, diretor de Privacidade e Segurança da Informação do Ministério da Gestão e da Inovação em Serviços Públicos. 

A NTT Ltd. lançou a segunda edição do OT Cybersecurity Academy LATAM, o programa de capacitação em cibersegurança em Redes de Tecnologia Operacional para toda América Latina. As aulas são gratuitas e ministradas pela internet com apenas 500 vagas nesta edição.

Os interessados podem se inscrever até o dia 10 de março e devem saber falar espanhol, ler em inglês, ter conhecimentos básicos em redes e cibersegurança, além de ter uma boa conexão com a internet. Os inscritos realizarão um exame pré-requisito no dia 13 a 23 de março para classificar os 500 melhores candidatos mais aptos para receber a capacitação.

##RECOMENDA##

O curso irá trabalhar sobre segurança cibernética em ambientes industriais com direito a lives especiais com especialistas do setor e trabalhará os assuntos em 3 módulos, será uma trilha para cada certificação de CISA, Claroty e Rockwell, nesta ordem.

O curso tem previsão para começar no dia 1° de abril e irá até o dia 12 de maio. Para se inscrever ou conferir mais informações basta acessar o site da OT Academy.

A China aprovou duas novas regras para regular atividades de empresas de tecnologia no exterior e o uso de algoritmos, na última ofensiva de Pequim para tentar manter sob controle o gigantesco setor de internet do país. Principal regulador do setor, a Administração do Ciberespaço da China disse nesta terça-feira (4) que ela e várias outras autoridades deram seu aval a uma versão revisada da lei de cibersegurança que obrigará operadoras de plataformas digitais com mais de um milhão de usuários a passar por uma revisão de suas medidas de segurança se quiserem lançar ofertas públicas iniciais (IPOs) de ações exterior.

Também foi aprovada uma norma que regulará como empresas de tecnologia usarão algoritmos de recomendação. A medida proíbe "discriminação não razoável" de preços e outros termos de transações baseados em dados sobre hábitos de consumidores, um importante mecanismo de monetização empregado pelas maiores plataformas de comércio eletrônico e vídeos curtos da China.

##RECOMENDA##

Quando as duas regras foram submetidas à consulta pública, em meados de 2021, a iniciativa levou a uma forte liquidação de ações de tecnologia chinesas, num novo golpe a um setor que já está enfrentando múltiplas investigações antitruste. Fonte: Dow Jones Newswires.

A Universidade de Washington, localizada no noroeste dos Estados Unidos, está com inscrições abertas para dois programas de acampamento de férias de verão gratuitos destinado a estudantes do ensino médio que falam português ou espanhol e desejam aprender sobre cibersegurança. O primeiro programa vai até o dia 30 de julho e o segundo será realizado de 2 a 6 de agosto.

O acampamento de férias, financiado pela Agência de Segurança Nacional (NSA) e pela National Science Foundation, combina as áreas de segurança cibernética e língua portuguesa e visa, por meio disso, ensinar aos jovens um currículo básico de segurança cibernética desenhado pela NSA.

##RECOMENDA##

Ao todo, são oferecidas 120 vagas para estudantes que residem nos Estados Unidos e estão matriculados em uma escola dos País ou educados em casa. O primeiro curso tem 21 horas de aula e duração de três semanas. Já o segundo tem um total de 41 horas aulas. Todos os programas serão realizados remotamente, com aulas assíncrona e síncrona.

Ao final do curso, os participantes receberão um certificado de conclusão. Quem deseja participar do acampamento de férias pode se inscrever por meio do site do programa. Mais informações também podem ser obtidas no mesmo endereço eletrônico.

O Conselho de Segurança da ONU realiza nesta terça-feira (29) sua primeira reunião pública formal sobre segurança cibernética, uma preocupação crescente evidenciada pela recente troca de opiniões sobre o assunto entre o presidente americano, Joe Biden, e seu homólogo russo, Vladimir Putin.

Em uma cúpula em Genebra, Biden estabeleceu limites para Putin, cujo país é frequentemente acusado de estar por trás do ataques de hackers. Nesse caso, os EUA definiram 16 entidades "intocáveis", desde o setor de energia até a distribuição de água.

##RECOMENDA##

“É uma lista de infraestruturas críticas que todos os países possuem”, sublinha um embaixador europeu especializado no assunto.

“Na primeira comissão da ONU (que trata de desarmamento), já concordamos em 2015, há seis anos, em nos abster de qualquer atividade cibernética maliciosa contra as infraestruturas críticas de cada Estado membro da ONU”, acrescentou, sob condição de anonimato.

O encontro, promovido pela Estônia, que preside atualmente o Conselho de Segurança e o país líder na luta contra a pirataria de computadores, será realizada virtualmente e em nível ministerial.

O Conselho de Segurança já debateu a questão no passado, mas informalmente, em público ou a portas fechadas.

- Abordagem mais inovadora -

“Não é uma área em que possamos esconder a cabeça (sob a terra) e dizer que ela não existe”, declarou um diplomata, também sob condição de anonimato.

“É uma questão nova e no Conselho de Segurança, como sempre, é difícil” colocar uma nova questão na mesa depois de 76 anos lidando com questões tradicionais de paz e segurança, acrescentou.

O vice-secretário-Geral da ONU para o Desarmamento, Izumi Nakamitsu, fará uma apresentação para abrir a sessão.

O objetivo da videoconferência, de acordo com a Estônia, é "contribuir para uma melhor compreensão dos riscos crescentes decorrentes de atividades maliciosas no ciberespaço e seu impacto na paz e segurança internacionais".

“Como o ciberespaço é um campo de dupla utilização, nos encontramos em uma situação complexa que não se assemelha a outras questões de segurança internacional”, analisou o mesmo embaixador europeu.

"Não é um tópico comum que pode caber na arena de controle de armas. Você não pode assinar um tratado e depois apenas verificá-lo. É preciso adotar uma abordagem mais inovadora", continuou, esperando que o debate ajude a delinear os caminhos para explorar.

Várias empresas norte-americanas, como o grupo SolarWinds IT, a rede de oleodutos Colonial Pipeline e a gigante mundial de carne JBS, foram recentemente visadas por ataques de 'ransomware', um programa que criptografa sistemas de computador e exige um resgate financeiro para desbloqueá-los.

A polícia federal dos EUA atribuiu esses ataques a hackers com base na Rússia.

 Hoje (16) a Microsoft realiza a palestra Security Summit com o tema “Segurança para inovar e transformar”. De acordo com a empresa, o evento será apresentado inteiramente por mulheres especializadas em segurança digital e ocorrerá de maneira online. As inscrições podem ser realizadas por aqui: https://mktoevents.com/Microsoft+Event/274054/157-GQE-382

Segundo a Microsoft, o evento visa auxiliar os empreendedores a melhorar suas estratégias de segurança no ambiente digital. Por conta disso, as palestras abordarão os temas: Principais tendências de cibersegurança em 2021; modelo de confiança zero; abordagem moderna para enfrentar o complexo ambiente de ameaças; melhores práticas para proteger dados dos riscos atuais e capacitação de mulheres para o desenvolvimento de um ambiente de segurança digital mais diversificado.

##RECOMENDA##

A Microsoft destaca que durante o evento disponibilizará uma página que contém diversos recursos e exercícios para os que desejam consultar, compartilhar e se capacitar em segurança. Além disso, o espectador poderá acessar o conteúdo gravado da palestra, caso não possa assistir ao vivo.

 

Nem os hospitais escaparam da mira dos cibercriminosos em 2020. Um levantamento feito pela empresa de cibersegurança Check Point apontou que a quantidade de ataques direcionados a instituições de saúde, durante os meses de novembro e dezembro, aumentou 45% em todo o mundo. O crescimento dos ataques cibernéticos é maior que o registrado em outros setores, que tiveram crescimento geral de 22%, durante o mesmo período.

De acordo com os pesquisadores, o número médio de ataques semanais no setor de saúde girou em torno de 626 por organização em novembro, em comparação com os 430 ataques registrados no mês anterior. Entre as vítimas que tiveram um aumento na quantidade de ciberataques por organização, as instituições de saúde brasileiras estão entre as que mais sofrem, com um crescimento de 66%, atrás apenas de hospitais no Canadá (250%), Alemanha (220%), Espanha (100%) e Itália (81%).

##RECOMENDA##

Brasil segue no top 5 dos mais atacados. Foto: Check Point

Pressão mundial por conta da Covid-19

Um dos principais motivos para o aumento da ação dos cibercriminosos está no combate das instituições de saúde a pandemia do novo coronavírus. Isso as torna um alvo em potencial para ataques de ransomware, em que os cibercriminosos instalam um malware no sistema que criptografa ou impede o acesso a uma grande quantidade de arquivos, seja em um computador, sistema de dados ou rede interna. Para que a vítima possa voltar a ter acesso aos dados é preciso realizar o pagamento de um resgate. 

Em relação às regiões mais vitimadas, a Europa Central lidera com mais de 145% de ataques por organização, seguida pelo Leste Asiático (137%) e América Latina (112%) como os mais afetados; Leste Europeu (97%), Europa (67%) e América do Norte (37%) aparecem em quarto, quinto e sexto lugares respectivamente. A maioria dos ataques acontecem em fins de semana e feriados, exigindo uma necessidade de aumentar a segurança durante este período.

Na última terça-feira (24), hackers invadiram uma Roda de Diálogo virtual promovida pelo Coletivo de Combate ao Racismo do SINPROJA (Sindicato dos Trabalhadores em Educação do Jaboatão dos Guararapes), que acontecia pelo Google Meet. Durante a transmissão, cibercriminosos inseriram imagens pornográficas e ofensas racistas, nazistas e homofóbicas.

De acordo com o SINPROJA, foram transmitidas para todos os participantes imagens com cenas de sexo, bandeiras LGBTQI+ incendiadas, marchas e saudações nazistas, além de suásticas e pessoas encapuzadas. No chat, os hackers ainda deixaram mensagens como "anticomunismo" e "bonde do javali", escritas repetidas vezes em caixa alta.

##RECOMENDA##

Ao perceber que se tratava de um ciberataque, Séphora Freitas, presidente em exercício do SINPROJA, recomendou que todos saíssem da sala. O sindicato afirmou que já está tomando as providências necessárias para que o crime não volte a acontecer e os culpados sejam descobertos e devidamente punidos.

O aplicativo russo FaceApp, que permite ver o envelhecimento de um rosto, coleta milhões de fotos em todo o mundo, gerando preocupação sobre seu uso. Mas por mais intrusivo que pareça, ele reflete uma prática geral.

Lançado em 2017, o FaceApp ressurgiu nos últimos dias com suas ferramentas de inteligência artificial que lhe permitem envelhecer, rejuvenescer e modificar um rosto.

##RECOMENDA##

O sucesso do FaceApp, atualmente o aplicativo gratuito mais baixado no Google Play, com mais de 100 milhões de usuários, foi acompanhado de um grande alvoroço em termos de proteção da privacidade. Um senador americano, inclusive, pediu ao FBI que investigue os "riscos para a segurança nacional", e Polônia e Lituânia anunciaram que vigiariam o aplicativo.

Os especialistas em cibersegurança, no entanto, pedem que se relativizem os riscos. A empresa israelense Checkpoint, por exemplo, disse não ter encontrado "nada extraordinário nesse aplicativo" que "parece ter sido desenvolvido na direção correta".

Não estigmatizar o FaceApp

"O FaceApp não precisa ser estigmatizado, muitos aplicativos utilizam os mesmos procedimentos", confirma Sylvain Staub, advogado de Paris especializado em direitos de dados.

Além do fato da empresa ser russa, o que alimenta a fantasia, as condições gerais de uso estabelecem que mediante o uso do aplicativo "você concede ao FaceApp uma licença perpétua, irrevogável, não exclusiva, livre de regalias, em nível mundial, (...) para utilizar, reproduzir, modificar, adaptar, publicar, traduzir, criar obras derivadas, distribuir, explorar publicamente e mostrar" as fotos e a informação adjunta às mesmas, incluindo os nomes ou pseudônimos.

"É algo muito habitual", explicou Baptiste Robert, especialista em cibersegurança. Nas condições gerais de uso "da maioria dos sites como Twitter ou Snapchat, você encontrará exatamente a mesma coisa".

Não se solicita consentimento

Embora esses usos sejam padrão, ao abrir a aplicativo, não é solicitado explicitamente qualquer consentimento. "É preciso acessar as longas e tediosas condições gerais de uso, em inglês e somente no site", explica Sylvain Staub.

"Tampouco há possibilidade de limitar a coleta de dados, nem há um procedimento claro para solicitar a eliminação de dados", acrescentou Baptiste Robert.

"A indignação que surge dessa história é boa, porque as pessoas estão interessadas na sua vida privada, mas o FaceApp em si não é mais malicioso do que outros (aplicativos)", ressalva.

Se as condições gerais de uso dos aplicativos das grandes companhias estão mais de acordo com as leis, é porque são editados por "exércitos de advogados, diferente que acontece com o FaceApp".

Escolha da empresa

Em ambos os casos, os dados pessoais se utilizarão para fins comerciais, direcionando anúncios personalizados ou melhorando os algoritmos, neste caso para p FaceApp.

"Não há comparação entre o FaceApp e gigantes como o Facebook, que despertam dúvidas muito maiores" sobre a privacidade, diz Constantin Pavléas, advogado especializado em direito das novas tecnologias.

O advogado lembra que em fevereiro, por exemplo, a Alemanha restringiu o uso por parte do Facebook dos dados de seus usuários, proibindo a empresa de utilizar informação coletada por sites de terceiros ou filiais como Instagram e Whatsapp sem o consentimento explícito do usuário.

O assunto ressalta a relação custo-benefício da vida digital. "Tenho interesse, por ter uma foto de mim mesmo envelhecido, em renunciar a meu direito de propriedade de algo muito pessoal como uma foto?", questionou Caroline Lancelot-Miltgen, pesquisadora especializada em temas de dados pessoais.

Pesquisadores da empresa de segurança Zimperium fizeram um alerta preocupante sobre as populares frotas de patinetes elétricas que prometem desafogar o trânsito de grandes centros urbanos. É que o popular modelo M365, da fabricante chinesa Xiaomi, tem uma falha que pode permitir que um hacker consiga comandar o equipamento remotamente, controlando comandos essenciais como aceleração e frenagem.

O diretor de pesquisa de software da Zimperium, Rani Idan, diz que descobriu e conseguiu explorar a falha horas depois de avaliar a segurança do modelo M365. O problema está no módulo Bluetooth que permite aos usuários se comunicarem com sua scooter por meio de um aplicativo de smartphone.

##RECOMENDA##

Idan rapidamente descobriu que ele poderia se conectar à scooter via Bluetooth sem ser solicitado a digitar uma senha ou autenticar o processo. A partir daí, o pesquisador conseguiu instalar um firmware na patinete sem que o sistema verificasse se esse novo software era uma atualização oficial e confiável da Xiaomi.

Isso significa que um invasor pode facilmente colocar um malware em uma scooter, dando a si mesmo controle total sobre o equipamento. "Um invasor pode frear de repente, ou acelerar uma pessoa no trânsito, ou qualquer que seja o pior cenário que você possa imaginar", disse o pesquisador.

A Zimperium informou que entrou em contato com a Xiaomi para divulgar os bugs, mas a fabricante disse que já está ciente do problema e não tem a capacidade de consertá-lo por conta própria neste momento. As patinetes da Xiaomi são utilizadas por empresas de compartilhamento de caronas, como a Lyft.

LeiaJá também

--> Recife ganha novo serviço de bikes e patinetes elétricos

No começo do mês, o pesquisador de segurança Troy Hunt revelou que um vazamento, batizado de Collection #1, tinha exposto os e-mails de 773 milhões de pessoas e mais de 21 milhões de senhas. Em seguida, o pesquisador de segurança da informação Brian Krebs informou que existiam outros pacotes de credenciais, o Collection #2 até o Collection #5, que tinham até dez vezes o tamanho do vazamento original. Agora, diferentes pesquisadores de segurança da informação tiveram acesso e analisaram esses últimos quatro pacotes de dados. A conclusão é de que eles abrigam os nomes de usuários e senhas de 2,2 bilhões contas únicas, quase três vezes mais do que o primeiro pacote.

"Essa é a maior coleção de credenciais que já vimos", disse à revista Wired Chris Rouland, pesquisador de cibersegurança da empresa Phosphorus.io. Boa parte desses arquivos é velha, composta por material de outros vazamentos, como do Yahoo, LinkedIn e Dropbox. Esses dados já vinham circulando na internet em fóruns e programas de torrent - apenas uma fração seria inédita. Ainda assim, o Hasso Plattner Institute, na Alemanha, afirmou que 750 milhões das credenciais não faziam parte do seu catálogo de informações vazadas. Já Rouland 611 milhões de credenciais não faziam parte da Collection #1 - é comum que em grandes compilações de dados exista informação duplicada.

##RECOMENDA##

Os pesquisadores também chamam a atenção para a livre circulação do material na internet. É comum que vazamentos inéditos sejam vendidos por valores altos na rede e percam valor conforme envelhecem, dando tempo para que seus proprietários ou empresas tomem ações para combater invasões. Segundo os pesquisadores, a fácil disponibilidade indica que as credenciais perderam apelo, mas não significa que não possam ser úteis para hackers menos habilidosos, que ainda podem tentar descobrir se as senhas e logins funcionam.

Rouland não revelou quais companhias foram afetadas pelo vazamento, mas disse estar tentando contato com elas e que também está aberto a conversar com representantes de empresas que acreditam terem sido afetadas.

Troy Hunt publicou em seu site - haveibeenpwned.com - uma ferramenta em que usuários podem checar se foram afetados pelo vazamento Collection # 1. O recurso também mostra se um e-mail já foi afetado em outras falhas de segurança, como a da rede social Myspace ou a do serviço de música Last.fm. A recomendação dos especialistas é que as pessoas troquem as senhas das contas caso elas estejam listadas na ferramenta de Hunt. Os pesquisadores da Plattner Institute em Potsdam criaram uma outra ferramenta para que usuários descubram se fazem parte do segundo pacote em diante.

A polícia norueguesa abriu no último domingo (2) uma investigação para descobrir a localização do cofundador do WikiLeaks, o holandês Arjen Kamphuis, que é dado como desparecido desde o último dia 20 de agosto.

"A polícia se recusa a especular sobre o que poderia ter acontecido com ele", disse o porta-voz da corporação. Pelo Twitter, o WikiLeaks relatou o desaparecimento, afirmando que o holandês foi visto pela última vez no último dia 20 de agosto em Bodo, na Noruega.

##RECOMENDA##

Segundo postagem no Twitter da plataforma, Kamphuis teria reservado um voo para a cidade norueguesa de Trondheim no último dia 22, de onde seguiria de trem para Amsterdã, mas o holandês não embarcou no avião. A instituição sugere que o desaparecimento é "estranho" e relata que uma viagem de trem entre as duas cidades duraria 10 horas.

Kamphuis, que tem 47 anos, fundou a empresa de cibersegurança Gendo, onde é diretor de tecnologia, além ter escrito, junto com o australiano Julian Assange, o livro "Segurança da Informação para Jornalistas", sobre a nova forma de fazer jornalismo investigativo. Em 2010 ele foi um dos colaboradores de Assange na criação da plataforma WikiLeaks, que vazou dados confidenciais de governos pelo mundo.

Assange atualmente vive na embaixada do Equador no Reino Unido, onde é procurado por violar as normas de liberdade condicional. A Justiça norte-americana também pede a prisão do australiano pelo vazamento de dados confidenciais. O governo equatoriano anunciou em julho que pretende encerrar o asilo político após negociações com Londres.

Da Ansa

Após notícias de vazamento de dados de clientes da loja C&A, o Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou procedimento administrativo para acompanhar as consequências do incidente de segurança que pode ter afetado mais de 2 milhões de consumidores da rede de moda.

As informações vazadas seriam relativas a compras com vale-presente. Entre os dados estariam número do cartão de crédito, CPF, e-mail, valor da aquisição, número do pedido e data da transação. Segundo o hacker autor da informação, no total, teriam sido liberados registros de 4 milhões de pedidos.

##RECOMENDA##

Em nota, a C&A confirmou o recebimento do ofício e informou que vai responder às solicitações. "A empresa sofreu um ciberataque no seu sistema de vale-presente/trocas na última semana e, tão logo identificou o ocorrido, acionou seu plano de contingência e notificou as autoridades competentes", relatou. A C&A negou também que tenha havido vazamento de dados de cartão de crédito.

LeiaJá também

--> Falso cupom do McDonald's é o novo golpe do WhatsApp

Um novo site brasileiro permite que as pessoas descubram se suas senhas, que geralmente usam em logins ou e-mails, portais e apps, vazaram na internet. O serviço foi criado pela empresa Axur, especializada no monitoramento de riscos digitais e pode ser acessado gratuitamente.

O processo é simples. O usuário acessa o site www.minhasenha.com e escreve seu e-mail no campo indicado. O serviço então faz uma busca entre bancos de dados vazados em ocasiões anteriores para informar o internauta está vulnerável ou não.

##RECOMENDA##

Em caso positivo, ele receberá a senha por e-mail e poderá alterá-la em todos os sistemas em que ela é usada. Dessa forma, o usuário evita que criminosos roubem seus dados pessoais ou façam compras em seu nome em plataformas de comércio eletrônico, por exemplo.

Além dos e-mails pessoais, o usuário também pode verificar se o endereço corporativo foi vazado. O serviço afirma que a análise envolve 224 sites estrangeiros e 85 sites brasileiros que passaram por episódios de vazamento de senhas.

LeiaJá também

--> Facebook detalha sistema que recebe nudes de usuários

A China começará a aplicar nesta quinta-feira uma nova lei de cibersegurança que reforça ainda mais sua "Grande Muralha" virtual, uma medida que preocupa as empresas estrangeiras que realizam negócios na segunda maior economia do planeta.

A lei, adotada em novembro, tem o objetivo de proteger as redes chinesas e a informação dos usuários, em um contexto de novas ameaças como o recente ciberataque mundial do 'ransomware' WannaCry, um programa que assume o controle dos dados de um computador e pede um resgate para a devolução.

##RECOMENDA##

Várias empresas estrangeiras pediram ao governo chinês o adiamento da aplicação da lei, pois temem o efeito de alguns dispositivos pouco claros sobre o armazenamento na nuvem ou o tratamento de dados pessoais.

Há algumas semanas, o diretor da Administração Chinesa de Cibersegurança (CAC), Zhao Zeliang, reuniu 200 representantes de empresas e associações profissionais locais e estrangeiras na sede do organismo em Pequim.

O debate se concentrou nas normas de transferência de dados pessoais ao exterior, informaram à AFP alguns participantes, e alguns dispositivos polêmicos foram retirados.

Um novo documento consultado pela AFP não inclui, por exemplo, um dispositivo que obrigava as empresas a conservar na China os dados pessoais de seus clientes.

De acordo com um participante na reunião que pediu anonimato, as autoridades chinesas "não estão preparadas" para aplicar a lei e é "muito improvável" que aconteçam mudanças na legislação que será aplicada a partir de 1 de junho.

A China já monitora de maneira rígida a internet e bloqueia sites que considera politicamente sensíveis, um sistema conhecido como "The Great Firewall" (um jogo de palavras com "The Great Wall", A Grande Muralha em inglês), que no entanto não impediu que universidades chinesas fossem afetadas pelo WannaCry.

A nova lei proíbe, entre outras coisas, a publicação na internet de conteúdo que atente contra a "honra nacional", que afete a "ordem econômica ou social" ou que tenha o objetivo de "derrubar o sistema socialista", ou seja, o Partido Comunista que governa o país.

Paul Triolo, especialista de cibersegurança na empresa de consultoria americana Eurasia Group, acredita que a China provavelmente vai impor "novos obstáculos para cumprir (com a lei) e para as atividades" de empresas que se dedicam ao 'cloud computing', um setor em que a China deseja promover suas próprias companhias.

"As empresas com concorrentes bem conectados politicamente poderiam ter resultados melhores em inspeções de cibersegurança", escreveu Triolo em uma nota

A Câmara de Comércio da União Europeia (UE) na China, assim como outras organizações, pediu a Pequim na semana passada o "adiamento da aplicação da lei ou de seus artigos mais relevantes, porque imporá obrigações substanciais de conformidade na indústria".

"É muito complicado para nossas empresas preparar-se (...) porque muitos elementos da lei são pouco claros", lamentou Jake Parker, vice-presidente para a China do US-China Business Council.

"As empresas não têm informações suficientes para poder elaborar práticas internas em conformidade com a lei", disse.

A União Europeia (UE) assinou nesta terça-feira (5) um acordo com a indústria de tecnologia para investir € 1,8 bilhão de investimentos em cibersegurança até 2020. A iniciativa faz parte de um plano estratégico destinado a fortalecer a infraestrutura dos 28 países membro do bloco econômico contra ciberataques e ampliar a cooperação entre os setores público e privado.

Segundo pesquisa da empresa de consultoria e auditoria PWC, 80% das empresas europeias sofreram pelo menos um incidente de segurança cibernética em 2015. No mundo, a ocorrência dessas ameaças cresceu 38% no mesmo período. Para frear esse problema, a entidade usará o investimento no desenvolvimento de tecnologias inovadoras e seguras, produtos e serviços.

##RECOMENDA##

"A Europa precisa de produtos e serviços de cibersegurança de alta qualidade, acessíveis e interoperacionais. Há uma grande oportunidade para nossa indústria de cibersegurança competir em um mercado de rápido crescimento", afirmou Günther H. Oettinger, comissário para economia digital e sociedade, em comunicado enviado à imprensa.

O acordo se trata de uma parceria público-privada. Do total, a UE vai investir € 450 milhões para facilitar o acesso ao financiamento para pequenas empresas que trabalham na área da segurança cibernética. Enquanto isso, outras companhias do setor privado, como a Airbus e Fraunhofer, planejam contribuir com o restante da soma, que vai totalizar € 1,8 bilhão.

Páginas

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando