Fastmail enfrenta instabilidades

Há alguns dias, o Fastmail tem estado bem instável. (Enquanto escrevo isso, minha caixa de entrada pessoal está inacessível.) O motivo é um ataque grande e continuado de negação de serviço (DDoS), que o Fastmail está tentando mitigar.

Outros provedores de e-mails menores, como Mailbox, Posteo e Runbox, também estão sofrendo com ataques DDoS. No Twitter, o perfil do Mailbox informou que trata-se de criminosos chantageando esses provedores e pedindo bitcoins para cessarem os ataques. @Fastmail/Twitter (2) (em inglês), @mailbox_org/Twitter (em inglês).

É chato ficar com o e-mail inacessível, mas pior seria ceder a esse tipo de coisa. O Fastmail tem uma página de status e tem dado atualizações da situação em seu perfil no Twitter.

Os esforços do YouTube para mitigar os ataques de roubo de canais

Um canal de YouTube pode valer muito dinheiro — os criminosos digitais também sabem disso. Nos últimos anos, cresceu a quantidade de ataques direcionados a youtubers com o intuito de se apropriarem dos seus canais.

O Grupo de Análises de Ameaças do Google detalhou esse tipo de ataque e os esforços que o Google/YouTube tem feito para mitigá-los. Os atacantes miram em cookies de sessões, pequenos arquivos do navegador que salvam a autenticação na sessão — permitem acessar o YouTube já logado.

Não é um ataque novo, mas o interesse por ele foi renovado graças à difusão do segundo fator de autenticação, uma camada extra de proteção que o Google/YouTube tem promovido junto aos youtubers. O cookie capturado consegue burlar essa camada extra.

A captura dos cookies é feita por malwares que os youtubers instalam voluntariamente em seus computadores, enganados por propostas de parcerias ou publicitárias. Foi o que aconteceu com o youtuber brasileiro de games Zangado, no final de 2020. Criminosos ofereceram a ele acesso antecipado a um jogo, que, na realidade, era um malware. Zangado perdeu seu canal, mas conseguiu recuperá-lo posteriormente.

De acordo com o Google, os canais roubados podem ter dois destinos: serem vendidos a terceiros, por valores que variam de US$ 3 a 4 mil, ou serem usados para aplicar golpes envolvendo criptomoedas — os “novos donos” fazem uma live e enganam os inscritos do youtuber original.

Por tratar-se de um ataque direcionado, os números do Google/YouTube impressionam. Desde maio deste ano: “Bloqueamos 1,6 milhões de mensagens [de ataques], exibimos 62 mil alertas de tentativa de ataques no navegador, bloqueamos 2,4 mil arquivos e restauramos com sucesso 4 mil contas [comprometidas].”

Além dos esforços que faz do seu lado, o Google/YouTube oferece orientações para evitar e reportar ataques de phishing. Via Google (em inglês).

WhatsApp começa a liberar backup criptografado de ponta a ponta na nuvem

O WhatsApp começou a liberar backups na nuvem (Google Drive/iCloud) criptografados de ponta a ponta. Se a sua conta já estiver liberada, basta seguir estas instruções.

Atenção redobrada, porém: “Se você perder suas conversas do WhatsApp e não se lembrar de sua senha ou chave, não será possível restaurar seu backup. O WhatsApp não pode redefinir sua senha nem restaurar seu backup para você.” Via @zuck/Facebook (em inglês), WhatsApp.

Banco Central registra vazamento de dados de 395 mil chaves Pix

O Banco Central (BC) confirmou o primeiro vazamento envolvendo o Pix. Dados cadastrais de 395 mil chaves Pix foram acessados indevidamente a partir de duas contas do Banese (Banco do Estado de Sergipe). Segundo o BC, “tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais (DICT), administrado pelo Banco Central e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por Pix”. O BC reforça que dados sensíveis, como senhas, não foram expostos. As pessoas afetadas — não estão restritas a clientes do Banese — serão avisadas exclusivamente pelos apps das suas instituições financeiras. O BC afirmou que “adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente”. Via Banco Central, Folha de S.Paulo.

Nunca, jamais, em hipótese alguma forneça a senha do seu computador para terceiros

Quando a tela do notebook da designer Therry Lee queimou, ela recorreu a um técnico para consertá-la. Ele arrumou a tela, mas abusou da confiança e boa-fé dela para acessar fotos e vídeos pessoais de Therry.

No fio em que compartilha essa história de terror, Therry explica como descobriu o acesso indevido e dá algumas dicas gerais. O ponto crítico da situação é este aqui: “Ele me pediu a senha do notebook (13h01) para instalar drivers necessários da tela, eu dei (sim, eu dei, eu confiei, eu acreditei como qualquer um).”

Nunca, jamais, em hipótese alguma forneça a senha do seu computador ou celular a terceiros. A prática é recorrente e ocorre até mesmo em autorizadas da Apple. Quando a bateria do meu notebook precisou ser trocada, o pessoal da autorizada pediu a senha do meu usuário. Neguei. Em vez disso, criei ali mesmo, na hora, um novo usuário para que eles tivessem acesso ao sistema.

Nem sempre isso é possível ou fácil. Em um notebook com a tela quebrada, como no caso da Therry, seria necessário um monitor (ou TV) e um cabo HDMI para conectá-lo e fazer esse ajuste. O que não invalida a recomendação de nunca, jamais, em hipótese alguma fornecer a senha do computador ou celular para quem quer que seja. Via @therrylee/Twitter.

Os aplicativos de VPN da Kape, uma “ex-empresa” de publicidade

A empresa britânica Kape Technologies comprou o aplicativo ExpressVPN por US$ 936 milhões no início da semana. No comunicado à imprensa, a Kape alardeia que a aquisição dobrou a sua base de usuários para 6 milhões.

A Kape, sediada no Reino Unido, já era dona de outras VPNs — CyberGhost VPN, ZenMate e Private Internet Access (PIA) —, o que a credita como uma empresa de segurança. Só que nem sempre foi assim. A empresa foi fundada em 2011 com o nome Crossrider. Era especializada em fornecer extensões de navegador e aplicativos para Windows e macOS que serviam de ponte para a injeção de anúncios. Em 2018, mudou de nome e passou a renegar o passado.

O ExpressVPN tem uma boa reputação, bem como o PIA (os outros dois, desconheço), mas em um mercado tão sensível como o de VPN, em que a confiança é tudo, será o bastante? Via The Register (em inglês).

Falhas “zero-day” e atualizações de sistemas / O fim das senhas? Não tão rápido…

Neste programa, Rodrigo Ghedin e Jacqueline Lafloufa falam das chamadas falhas “zero-day” em softwares, aquelas que são exploradas antes que a fabricante/desenvolvedora tome conhecimento da sua existência. Nessa semana, a Apple liberou uma correção emergencial para seus sistemas corrigindo uma do tipo — se ainda não atualizou seus aparelhos, faça isso o quanto antes. Tem […]

Microsoft elimina senhas

A Microsoft expandiu para todos os usuários o recurso que elimina a senha de uma Conta Microsoft. Ao ativar essa opção, o acesso passa a ser feito via aplicativo Microsoft Authenticator, Windows Hello, chave de segurança ou um código de verificação enviado por e-mail ou SMS.

Na prática, a Microsoft está dando a opção de transformar o segundo fator de autenticação (2FA, “o que você tem”) em fator único, eliminando o primeiro (“o que você sabe”, a senha). Não sei até que ponto isso é vantajoso do ponto de vista da segurança, embora evidente que seja mais cômodo. No anúncio da novidade, Vasu Jakkal, vice-presidente de segurança, compliance e identidade da Microsoft, reafirma a insegurança das senhas, o dilema entre criar uma fácil de lembrar e que seja segura, e que a cada segundo são feitas 579 tentativas de invasão por quebra de senha. Estranhamente, o texto não menciona em momento algum os gerenciadores de senhas, que meio que resolvem todos esses transtornos e, usados em conjunto com um método de 2FA, garantem uma camada extra de segurança. Via Microsoft (em inglês).

Pix terá limite noturno e outras mudanças para inibir crimes

O Banco Central (BC) anunciou na última sexta-feira (27) uma série de alterações no Pix visando inibir sequestros relâmpagos e outros crimes motivados pelo sistema de pagamentos. As principais são:

  • Limite de R$ 1 mil para transferências das 20h às 6h, com possibilidade de aumentá-lo (no geral ou para contatos específicos), com prazo mínimo de 24h para efetivação do pedido de alteração.
  • Possibilidade de limites distintos para dia e noite.
  • Possibilidade de retenção de de transações por até 30 minutos (de dia) ou 60 minutos (noite) para análise de risco da operação.

Segundo Roberto Campos Neto, presidente do BC, 90% das transações com Pix é de valores inferiores a R$ 500. “[A] intervenção protege o patrimônio das pessoas, não diminui usabilidade e desincentiva crimes como sequestro relâmpago”, disse Roberto.

As novas regras ainda não têm data para começarem a valer. Via CNN (2).

Windows 11 poderá ser instalado em computadores antigos, mas não terá atualizações neles

A Microsoft não vai impedir a instalação do Windows 11 em computadores que não atendem os requisitos mínimos do sistema, desde que ele seja instalado manualmente, ou seja, baixando o sistema do site da Microsoft e rodando o instalador localmente.

Porém — e um enorme “porém” —, esse Windows 11 em computadores antigos não será elegível a receber atualizações, nem mesmo as de segurança e de drivers. A medida, informada pela empresa ao site The Verge, parece mais uma concessão diante das críticas aos requisitos mínimos aparentemente artificiais do Windows 11, que cada vez mais soa mais como um estímulo à troca de computadores do que uma atualização genuína.

Para computadores não elegíveis, será melhor permanecer no Windows 10, que tem atualizações garantidas até 2025. Via The Verge (2) (em inglês).

Lojas Renner sofrem ataque hacker e site sai do ar

Nesta quinta (19), o site das Lojas Renner ficou indisponível após a empresa sofrer um ataque hacker. Em um comunicado ao mercado, confirmou que “sofreu um ataque cibernético criminoso em seu ambiente de tecnologia da informação, que resultou em indisponibilidade em parte de seus sistemas e operação e prontamente acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos”. A empresa disse ainda que “em nenhum
momento as lojas físicas tiveram suas atividades interrompidas”.

Segundo O Globo, os sites/lojas virtuais das Lojas Renner e de outras duas marcas do grupo, Camicado e Ashua, saíram do ar. O da YouCom, marca de moda jovem do grupo, não foi afetado.

Nesta sexta (20), em novo comunicado, as Lojas Renner informaram que “as equipes permanecem mobilizadas, executando o plano de proteção e recuperação, com todos seus protocolos de controle e segurança e trabalhando para restabelecer todas as operações da Companhia” e que “os principais bancos de dados permanecem preservados”.

A empresa não confirma, mas suspeita-se que tenha sido um ataque do tipo ransomware (ouça o Guia Prático), em que os arquivos e sistemas são criptografados por alguém de fora e esse alguém exige um pagamento de resgate para reverter o bloqueio. Backups feitos previamente mitigam o estrago, mas o restabelecimento da operação pode demorar. Via Lojas Renner (2), O Globo.

Na data desta publicação, eu tinha ações das Lojas Renner (LREN3).

Apenas 2,3% dos usuários do Twitter usam a verificação em duas etapas

Em seu relatório de transparência do período de julho a dezembro de 2020, o Twitter revelou que apenas 2,3% dos usuários ativos tem a verificação em duas etapas ativada. E, dentro desse minúsculo universo, 79,6% das contas usam o método por SMS, o mais frágil dos três — 30,9% adotam aplicativos OTP e apenas 0,5% as chaves de segurança físicas. Via Twitter (em inglês).

Caro(a) leitor(a) que está no Twitter: faça um favor a si mesmo(a) e ative a 2FA agora mesmo. E repita isso em todos os serviços que oferecem tal recurso, em especial no seu e-mail e sistema operacional (iCloud para Apple, Google para Android).

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário