Segurança

Coincidência ou não, surgiram relatos de que os sistemas informatizados de outros órgãos do poder público teriam sido hackeados, como os do Ministério da Saúde. Nesse caso, segundo a assessoria de imprensa, apenas algumas estações foram infectadas por um vírus, sem qualquer indício de invasão. O pedido do Departamento de Informática do SUS (DataSUS) para bloquear o acesso à internet e à rede interna foi por precaução, para evitar que o vírus se espalhasse. Via Reuters.

No Twitter, porém, um grupo chamado CyberTeam alega ter hackeado o site do Ministério da Saúde. Eles conseguiram colocar páginas HTML com mensagens em alguns locais do site.

2

A partir do print do pedido de resgate encontrado nos sistemas do Superior Tribunal de Justiça (STJ), o Bleeping Computer, site especializado em segurança da informação, detectou o grupo por trás do ataque: é o RansomExx, que está bastante ativo desde junho e mira em alvos importantes — outras vítimas governamentais do grupo incluem os sistemas judiciário e de transporte público do Texas (EUA), o sistema de transporte público de Montreal (Canadá) e a Tyler Technologies, uma das maiores fornecedoras de tecnologia para o setor público dos EUA. Via Bleeping Computer (em inglês).

Ontem (5) à noite, o presidente do STJ, Humberto Martins, divulgou uma nota afirmando que os processos do tribunal estão seguros e que a inteligência do Exército se juntou à Polícia Federal para auxiliar nas investigações. Via Conjur.

4

O Superior Tribunal de Justiça (STJ) sofreu um ataque hacker na tarde desta terça-feira (3). “Por precaução, os prazos processuais seguem suspensos até a próxima segunda-feira (9/11)”, diz a nota do Conselho Nacional de Justiça (CNJ). Até lá, demandas urgentes estão sendo encaminhadas por e-mail. E, no final da nota, o CNJ recomenda aos usuários que “não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento”. O site do STJ está com uma página simples/temporária, informando o ataque e os procedimentos excepcionais postos em virtude dele.

A nota não especifica que tipo de ataque foi esse. Nesta quinta (5), Diego Escorteguy, em seu novo blog (?), afirma ter ouvido de uma fonte de dentro do STJ que se trata de um ataque do tipo ransomware, quando o hacker criptografa todos os dados da vítima e exige um pagamento para liberar a chave. Diz, ainda, que o ataque foi grave e que o STJ e que os técnicos do tribunal e especialistas terceirizados não estão conseguindo contornar o problema. Via CNJ, O Bastidor.

Clientes do James Delivery, do Grupo GPA, que têm seus e-mails cadastrados no Have I Been Pwned (HIBP, serviço de monitoramento de vazamentos) receberam nesta quinta (5) um alerta de que seus dados no James vazaram. O vazamento ocorreu em março deste ano, foi divulgado em junho e afetou pouco mais de 1,5 milhão de pessoas. Segundo o HIBP, os dados vazados são endereço de e-mail, localizações dos clientes (expressas em latitude e longitude) e senhas criptografadas. Via HIBP (em inglês).

1

O C6 Bank foi condenado a pagar uma indenização de R$ 10 mil e a estornar quase R$ 30 mil na conta de um cliente que teve o celular roubado. O assaltante conseguiu fazer cinco transferências pelo aplicativo do celular para outras contas que totalizaram R$ 29.990.

Um detalhe curioso. O C6 argumentou que as transferências só poderiam ter sido feitas com a senha “secreta, pessoal e intransferível”. Na sentença, a juíza Claudia Carneiro Calbucci Renaux, da 7ª Vara Cível de São Paulo, disse que “a forma como a senha chegou ao conhecimento do terceiro assume pouca importância na conclusão da responsabilidade do banco”, e que caberia ao banco provar que o cliente teve participação na fraude. Via Jota (paywall).

VPN como fator de segurança: Para que serve e quando usá-la

25

Estar seguro na internet, hoje, não depende mais apenas do indivíduo, mas ainda assim existem medidas que cada um de nós pode tomar para mitigar os riscos. Uma muito alardeada nos últimos anos é o uso de uma VPN, sigla em inglês para “rede privada virtual”, mas você sabe o que é e para que serve uma?

“Especialistas costumam falar: ‘use VPN para sua segurança’, e muitas vezes a gente não explica ou não entra nos detalhes técnicos que nos levaram a concluir que uma VPN é uma forma segura de você se comunicar”, reconhece Fabio Assolini, pesquisador de segurança sênior da empresa de segurança Kaspersky. Pois bem, vamos falar de VPN, então.

(mais…)

O bloqueio do Mega e o futuro do DNS

18

O site de armazenamento de arquivos Mega (mega.nz) está inacessível para clientes das operadoras Claro, Vivo, Oi e Algar Telecom por força de uma tutela de urgência deferida pelo Tribunal de Justiça de São Paulo. (Curiosamente, a TIM não é citada.) Não é possível saber detalhes do processo, como quem pediu o bloqueio, porque ele corre em sigilo.

A decisão foi publicada no último dia 12 de setembro, mas ganhou destaque após o braço brasileiro do Partido Pirata comentá-la no Twitter na última sexta-feira (27). Desde então, clientes das operadoras afetadas têm manifestado nas redes sociais a impossibilidade de acessarem o serviço.

(mais…)

Linha do tempo revela falhas na narrativa que atribui vazamentos da Lava Jato a hackers paulistas

34

Nunca houve tamanha preocupação com segurança digital no Brasil como agora, resultado dos respingos flamejantes da divulgação de conversas comprometedoras via Telegram entre membros da força-tarefa da Lava Jato e o ex-juiz federal Sergio Moro pelo The Intercept Brasil (TIB) desde o início de junho.

Em sua atabalhoada estratégia de defesa, Moro, hoje ministro da Justiça e Segurança Pública do governo Jair Bolsonaro, apressou-se em atribuir a supostos hackers, presos pela Polícia Federal nesta terça-feira (23), a origem do vazamento obtido pelo TIB. Editores da publicação relembraram, via redes sociais, que nunca disseram que a fonte era um hacker. Esta não é a única incongruência na narrativa de Moro.

Uma linha do tempo expõe muitas falhas na argumentação do ministro.

(mais…)

Como proteger o seu e-mail

13

É difícil encontrar gente que goste de e-mail, mas mais difícil ainda é achar quem consiga se virar digitalmente sem ter um endereço para chamar de seu. Mesmo os apps mais descolados, que confiam no número do celular para identificação ou resgate de senha, como o WhatsApp, recorrem ao bom e velho e-mail quando tudo parece perdido. Sendo um componente tão presente e crítico nas nossas vidas online, é importante protegê-lo.

Não que seja difícil descobrir um endereço de e-mail. Além disso, em algumas profissões é desejável que ele seja exposto. Não significa, porém, que toda caixa de entrada deva se tornar uma baderna e que seja ok passar o seu e-mail para qualquer site suspeito que diga que seu celular está com vírus ou outra bobagem do tipo.

(mais…)

A configuração padrão é tudo o que importa

22

Este post saiu primeiro na newsletter do site. Inscreva-se gratuitamente para receber os próximos direto no seu e-mail:

As reportagens bombásticas publicadas pelo The Intercept Brasil no último domingo (9) deflagraram uma guerra entre entusiastas de tecnologia. De um lado, defensores do Telegram; do outro, seus detratores. (É meio maluco, mas a tecnologia de consumo é cheia dessas histórias de brigas entre “fãs” de marcas: Intel vs. AMD, iPhone vs. Android, Windows vs. macOS… agora parece que até banco tem fãs.)

(mais…)

1

Procuradores, políticos e jornalistas relataram, nas últimas semanas, que tiveram suas contas no Telegram invadidas. A verificação em duas etapas (2FA, na sigla em inglês) do Telegram é uma senha adicional — e opcional — que o aplicativo pede ao ser instalado em um novo aparelho. Ela se soma ao código de login, enviado por SMS ou notificação em outros aparelhos que já tenham o app. Ao combinar algo que você tem (código de login) com algo que só você sabe (senha da 2FA), sua conta no Telegram fica mais protegida contra tentativas de invasão.

No aplicativo, entre em Configurações, depois em Privacidade e Segurança e, nesta tela, em Verificação em duas etapas. Clique em Configurar Senha Adicional e, na telas seguintes, insira uma senha e confirme ela. Na sequência, o app pedirá um lembrete de senha e um e-mail de recuperação, para caso você se esqueça da senha da 2FA. Ao informar o e-mail, será preciso confirmá-lo com uma senha temporária que será enviada ao endereço.

Para aprender como ativar a autenticação em duas etapas no WhatsApp, leia isto.

Os problemas mais urgentes que as empresas de tecnologia precisam resolver para dar mais segurança e privacidade aos usuários

2

por EFF

Nota do editor: Nesta quarta-feira (3), o WhatsApp anunciou uma novidade há muito esperada: a opção que dá ao usuário o poder de escolha para ser adicionado ou não a um grupo. Era algo básico e espanta que tenha demorado tanto para ser implementado. Não é o único caso do tipo na indústria.

(mais…)

Desafio da boneca Momo é o resultado da soma de pais culpados e imprensa irresponsável

15

Na última segunda-feira (18), o site da revista Crescer publicou uma reportagem alertando os pais de que supostos vídeos da boneca Momo, em que ela ensinaria crianças a se mutilarem e a cometerem suicídio, estariam aparecendo dentro de vídeos do YouTube Kids, versão da plataforma do Google com conteúdo exclusivamente infantil.

(mais…)

Estar seguro na internet não depende mais só de você e tem tudo a ver com os seus dados pessoais

14

Houve um tempo em que o cuidado com a segurança digital era uma receita de bolo: siga estes passos, instale isto e aquilo, evite fazer tal coisa e você estará bem. Embora as dicas clássicas continuem válidas, há algum tempo elas deixaram de ser suficientes para alguém acessar a internet sem correr riscos. O problema cresceu tanto que, hoje, a sua proteção online não depende mais apenas de você. Virou uma guerra, que envolve o crime organizado, as grandes empresas e os governos. E você, na linha de fogo e sem ter muito o que fazer além de contemplar um cenário cada vez mais caótico.

(mais…)

Aquele cadeado verde ao lado do endereço do site não significa que ele é legítimo

3

Você já deve ter lido e ouvido — várias vezes — aquela famigerada dica de sempre procurar pelo cadeado verde ao lado do endereço do site antes de comprar algo ou fornecer dados online, pois ele sinalizaria que o site é legítimo e seguro. Acontece que, hoje, essa dica é quase inútil. (mais…)