O Banco Central (BC) confirmou o primeiro vazamento envolvendo o Pix. Dados cadastrais de 395 mil chaves Pix foram acessados indevidamente a partir de duas contas do Banese (Banco do Estado de Sergipe). Segundo o BC, “tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais (DICT), administrado pelo Banco Central e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por Pix”. O BC reforça que dados sensíveis, como senhas, não foram expostos. As pessoas afetadas — não estão restritas a clientes do Banese — serão avisadas exclusivamente pelos apps das suas instituições financeiras. O BC afirmou que “adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente”. Via Banco Central, Folha de S.Paulo.
Segurança
Quando a tela do notebook da designer Therry Lee queimou, ela recorreu a um técnico para consertá-la. Ele arrumou a tela, mas abusou da confiança e boa-fé dela para acessar fotos e vídeos pessoais de Therry.
No fio em que compartilha essa história de terror, Therry explica como descobriu o acesso indevido e dá algumas dicas gerais. O ponto crítico da situação é este aqui: “Ele me pediu a senha do notebook (13h01) para instalar drivers necessários da tela, eu dei (sim, eu dei, eu confiei, eu acreditei como qualquer um).”
Nunca, jamais, em hipótese alguma forneça a senha do seu computador ou celular a terceiros. Quando tiver que levar o computador à assistência, certifique-se de que o disco esteja criptografado. Caso a assistência exija acesso ao computador (para instalar algo ou rodar testes), faça backup, formate-o e entregue ele seu os seus dados.
Nem sempre isso é possível ou fácil. Em um notebook com a tela quebrada, como no caso da Therry, seria necessário um monitor (ou TV) e um cabo HDMI para conectá-lo e fazer esse ajuste. O que não invalida a recomendação de nunca, jamais, em hipótese alguma fornecer a senha do computador ou celular para quem quer que seja. Via @therrylee/Twitter.
Atualização (4/6/2022): A versão original desta nota orientava o(a) leitor(a) a criar outro usuário administrador no computador para entregá-lo à assistência técnica. Conforme apontado nos comentários, essa orientação pode não ser suficiente, a depender do nível técnico da assistência e de outras configurações do computador, para impedir o acesso não autorizado aos arquivos. A orientação foi alterada para uma mais rígida e segura.
A empresa britânica Kape Technologies comprou o aplicativo ExpressVPN por US$ 936 milhões no início da semana. No comunicado à imprensa, a Kape alardeia que a aquisição dobrou a sua base de usuários para 6 milhões.
A Kape, sediada no Reino Unido, já era dona de outras VPNs — CyberGhost VPN, ZenMate e Private Internet Access (PIA) —, o que a credita como uma empresa de segurança. Só que nem sempre foi assim. A empresa foi fundada em 2011 com o nome Crossrider. Era especializada em fornecer extensões de navegador e aplicativos para Windows e macOS que serviam de ponte para a injeção de anúncios. Em 2018, mudou de nome e passou a renegar o passado.
O ExpressVPN tem uma boa reputação, bem como o PIA (os outros dois, desconheço), mas em um mercado tão sensível como o de VPN, em que a confiança é tudo, será o bastante? Via The Register (em inglês).
A Microsoft expandiu para todos os usuários o recurso que elimina a senha de uma Conta Microsoft. Ao ativar essa opção, o acesso passa a ser feito via aplicativo Microsoft Authenticator, Windows Hello, chave de segurança ou um código de verificação enviado por e-mail ou SMS.
Na prática, a Microsoft está dando a opção de transformar o segundo fator de autenticação (2FA, “o que você tem”) em fator único, eliminando o primeiro (“o que você sabe”, a senha). Não sei até que ponto isso é vantajoso do ponto de vista da segurança, embora evidente que seja mais cômodo. No anúncio da novidade, Vasu Jakkal, vice-presidente de segurança, compliance e identidade da Microsoft, reafirma a insegurança das senhas, o dilema entre criar uma fácil de lembrar e que seja segura, e que a cada segundo são feitas 579 tentativas de invasão por quebra de senha. Estranhamente, o texto não menciona em momento algum os gerenciadores de senhas, que meio que resolvem todos esses transtornos e, usados em conjunto com um método de 2FA, garantem uma camada extra de segurança. Via Microsoft (em inglês).
O Banco Central (BC) anunciou na última sexta-feira (27) uma série de alterações no Pix visando inibir sequestros relâmpagos e outros crimes motivados pelo sistema de pagamentos. As principais são:
- Limite de R$ 1 mil para transferências das 20h às 6h, com possibilidade de aumentá-lo (no geral ou para contatos específicos), com prazo mínimo de 24h para efetivação do pedido de alteração.
- Possibilidade de limites distintos para dia e noite.
- Possibilidade de retenção de de transações por até 30 minutos (de dia) ou 60 minutos (noite) para análise de risco da operação.
Segundo Roberto Campos Neto, presidente do BC, 90% das transações com Pix é de valores inferiores a R$ 500. “[A] intervenção protege o patrimônio das pessoas, não diminui usabilidade e desincentiva crimes como sequestro relâmpago”, disse Roberto.
As novas regras ainda não têm data para começarem a valer. Via CNN (2).
A Microsoft não vai impedir a instalação do Windows 11 em computadores que não atendem os requisitos mínimos do sistema, desde que ele seja instalado manualmente, ou seja, baixando o sistema do site da Microsoft e rodando o instalador localmente.
Porém — e um enorme “porém” —, esse Windows 11 em computadores antigos não será elegível a receber atualizações, nem mesmo as de segurança e de drivers. A medida, informada pela empresa ao site The Verge, parece mais uma concessão diante das críticas aos requisitos mínimos aparentemente artificiais do Windows 11, que cada vez mais soa mais como um estímulo à troca de computadores do que uma atualização genuína.
Para computadores não elegíveis, será melhor permanecer no Windows 10, que tem atualizações garantidas até 2025. Via The Verge (2) (em inglês).
Nesta quinta (19), o site das Lojas Renner ficou indisponível após a empresa sofrer um ataque hacker. Em um comunicado ao mercado, confirmou que “sofreu um ataque cibernético criminoso em seu ambiente de tecnologia da informação, que resultou em indisponibilidade em parte de seus sistemas e operação e prontamente acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos”. A empresa disse ainda que “em nenhum
momento as lojas físicas tiveram suas atividades interrompidas”.
Segundo O Globo, os sites/lojas virtuais das Lojas Renner e de outras duas marcas do grupo, Camicado e Ashua, saíram do ar. O da YouCom, marca de moda jovem do grupo, não foi afetado.
Nesta sexta (20), em novo comunicado, as Lojas Renner informaram que “as equipes permanecem mobilizadas, executando o plano de proteção e recuperação, com todos seus protocolos de controle e segurança e trabalhando para restabelecer todas as operações da Companhia” e que “os principais bancos de dados permanecem preservados”.
A empresa não confirma, mas suspeita-se que tenha sido um ataque do tipo ransomware (ouça o Guia Prático), em que os arquivos e sistemas são criptografados por alguém de fora e esse alguém exige um pagamento de resgate para reverter o bloqueio. Backups feitos previamente mitigam o estrago, mas o restabelecimento da operação pode demorar. Via Lojas Renner (2), O Globo.
Na data desta publicação, eu tinha ações das Lojas Renner (LREN3).
Em seu relatório de transparência do período de julho a dezembro de 2020, o Twitter revelou que apenas 2,3% dos usuários ativos tem a verificação em duas etapas ativada. E, dentro desse minúsculo universo, 79,6% das contas usam o método por SMS, o mais frágil dos três — 30,9% adotam aplicativos OTP e apenas 0,5% as chaves de segurança físicas. Via Twitter (em inglês).
Caro(a) leitor(a) que está no Twitter: faça um favor a si mesmo(a) e ative a 2FA agora mesmo. E repita isso em todos os serviços que oferecem tal recurso, em especial no seu e-mail e sistema operacional (iCloud para Apple, Google para Android).
O DuckDuckGo anunciou um novo serviço gratuito de proteção a e-mails, chamado Email Protection (é, nada original). Ele gera um endereço @duck.com, gratuito, que encaminha mensagens ao seu endereço verdadeiro removendo rastreadores da mensagem, algo parecido com o comportamento do aplicativo Mail, da Apple, no iOS 15 e macOS 12 . Na solução do DuckDuckGo também é possível gerar “aliases”, ou seja, endereços alternativos para cada serviço/cadastro e, caso um deles passe a ser usado para spam, bloqueá-lo. Essa parte é igual ao Firefox Relay e ao vindouro Hide My Email do iCloud+, da Apple.
O Email Protection está em beta. Para candidatar-se ao serviço e, de quebra, reservar um endereço @duck.com, é preciso baixar o aplicativo do DuckDuckGo para Android ou iOS, abrir as configurações, ir em Beta Features, depois em Email Protection e, por fim, clicar em Join the Private Waitlist. Via DuckDuckGo (em inglês).
Um consórcio de jornais revelou uma lista de 50 mil “pessoas de interesse” de 45 países que podem ter tido seus celulares hackeados pela ferramenta Pegasus, da empresa israelense NSO Group. Há anos o uso da ferramenta é conhecido; a investigação revela a escala da coisa. Via O Globo.
O NSO Group afirma ter 60 clientes em 40 países, mas se recusa a identificá-los, e diz que seus produtos são destinados exclusivamente ao combate ao terrorismo e ao crime organizado. Na lista obtida pelos jornais, porém, há jornalistas, ativistas e políticos. Em alguns países, a definição de terrorista deve ser mais abrangente, a ponto de incluir oposição e imprensa. Esta revelação explicita o perigo de se abrir exceções a sistemas de criptografia.
Em maio, Carlos Bolsonaro (Republicanos-RJ), que é vereador no Rio de Janeiro, articulou em Brasília, junto ao Ministério da Justiça, uma licitação para adquirir o Pegasus. O Uol, que revelou a negociata, ouviu de fontes que o filho do presidente tentava fortalecer uma “Abin paralela” dentro do governo, jogando para escanteio os órgãos de inteligência convencionais — o Gabinete de Segurança Institucional (GSI) e a própria Abin. Via Uol.
Não é todo dia que a Microsoft alerta para uma falha grave no Windows, do tipo “zero-day”, e libera correções até para versões defasadas do sistema, como o Windows 7. A falha batizada de “PrintNightmare” foi divulgada acidentalmente por pesquisadores chineses e permite a execução remota de códigos no Windows via servidor de impressão.
Para versões do Windows que ainda têm suporte, como o Windows 10, basta acionar o Windows Update para baixar a instalar a atualização, identificada pelo código CVE-2021-34527. Para as demais, com Windows 7 e Windows 8 RT, é preciso baixar manualmente o pacote nesta página. Via Lifehacker (em inglês), Bleeping Computer (em inglês).
Um membro de uma gangue “limpa-contas”, preso em novembro de 2020 em São Paulo (SP), revelou à polícia como consegue burlar a criptografia do iPhone. Na real, ele não consegue. Pelo relato, publicado pela Folha de S.Paulo, é mais um golpe de engenharia social do que técnico, aplicado com base no número/chip do celular da vítima. Mais ou menos assim:
- Assaltante tira o chip do celular da vítima, coloca em outro aparelho e ativa o número nele.
- Assaltante procura o endereço de e-mail da vítima usado como Apple ID (iPhone) ou Conta Google (Android) em redes sociais, como Facebook e Instagram.
- Assaltante ganha acesso ao Apple ID/Conta Google.
- Assaltante restaura backup da nuvem (iCloud/Google Drive) em um novo aparelho e procura senhas de outros serviços no backup, encontra-as e repassa o aparelho a terceiros que farão a limpa nas contas bancárias.
Algo que não fica evidente é como o assaltante consegue recuperar a senha do iCloud/Google Drive. Uma hipótese é que ele inicia o processo de recuperação de senha, que tanto na Apple quanto no Google envolvem o número de telefone para a recuperação de contas, conforme as imagens a seguir:
Outro detalhe que chama a atenção é a busca por senhas no conteúdo do celular: “Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas a palavra ‘senha’ e, segundo dele, obtém geralmente os números e acesso do celular e das contas bancárias.”
À luz desse relato, uma medida fácil para dificultar esse ataque é alterar/ativar a senha/PIN do seu chip (SIM card). É um código de quatro dígitos que, depois de ativado, passa a ser pedido quando se insere o chip em outro celular.
Este tutorial do TechTudo explica como configurá-lo no Android e no iOS, e apresenta os códigos padrões de cada operadora. Cuidado na hora de alterar o PIN: após três tentativas erradas, ele bloqueia o chip. Caso você já tenha feito a troca e esqueceu o PIN cadastrado, é necessário o código PUK, que vem impresso na embalagem do chip ou, caso não a tenha mais, pode ser requisitado junto ao atendimento da sua operadora.
Outra dica, básica, mas aparentemente ainda não muito difundida, é jamais salvar qualquer tipo de senha em texto puro ou em apps de anotações. Use um gerenciador de senhas decente e ative o segundo fator de autenticação onde for possível.
Um banco de dados gigantesco, com 700 milhões de registros, foi posto à venda em um fórum online. A partir de uma “degustação” de 1 milhão de registros, o site Private Sharks, que deu a notícia em primeira mão, conseguiu confirmar a validade.
O LinkedIn publicou uma nota informando que não houve comprometimento dos seus sistemas e que nem todos os dados contidos no banco à venda têm origem em sua rede. Os que são de lá provavelmente foram obtidos por “raspagem” de perfis públicos. O Private Sharks acredita tratar-se de um mega-pacote baseado em vazamentos anteriores. Via Private Sharks (em inglês), LinkedIn (em inglês).
Não há senhas entre os dados à venda, então não há muito o que fazer para mitigar os danos. Só fique atento a tentativas de golpes por e-mail e outros meios de comunicação.
Celulares roubados e quadrilhas “limpa-contas”
Até duas semanas atrás, minha única preocupação com um possível roubo ou furto do meu celular era o prejuízo material. (Ainda mais agora, com tudo encarecendo.) Ele está bem configurado e criptografado, ou seja, é pouco provável que alguém consiga acessar os dados que estão ali dentro. Ou assim pensava. Uma série de reportagens da Folha de S.Paulo fez surgir outro receio: o de ter a minha conta bancária varrida por assaltantes.
O Procon-SP notificou Apple, Motorola e Samsung a prestarem esclarecimentos acerca da segurança dos seus celulares. A motivação é uma série de reportagens da Folha de S.Paulo que revelou a ação de criminosos que roubam celulares e, rapidamente, conseguem invadir aplicativos bancários e fazer transferências de valores. Elas têm até o dia 22 para responderem.
O pedido é válido, porque essa situação é inquietante. Alguns celulares são roubados desbloqueados, mas há relatos de aparelhos travados, com criptografia e proteção biométrica (Face ID, no caso do iPhone) ativadas, que os criminosos conseguem acessar. E, em qualquer caso, além da proteção do sistema do celular, existem ainda barreiras nos apps dos bancos, como senhas específicas. Como eles as descobrem? Ou eles burlam as proteções dos apps usando engenharia social nos canais de atendimento?
A Febraban, associação dos bancos, também foi inquirida. Ela costuma repetir à imprensa que os apps bancários “contam com elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança”, jogando a culpa pelos desvios ao descuido dos usuários.
Quaisquer que sejam os motivos, é preciso esclarecê-los. Afinal, se as desculpas dos bancos e das fabricantes de celulares estiverem corretas, temos aqui um curioso caso de criminosos brasileiros, que vivem de assaltar celulares na rua, capazes de fazer o que às vezes nem o FBI consegue. Alguém precisa encontrar essa galera e contratá-la. Via Procon-SP, Folha de S.Paulo.