Banner anúncio do Revelo UP, com o logo do programa e o texto 'Financiamento de curso em tecnologia' à esquerda, a frase 'Investir no seu futuro começa agora' no meio e, à direita, a palavra 'UP' vazada, com uma mulher pensativa no 'U' e um homem fazendo anotações no 'P'.

Explorando vulnerabilidades nos softwares da Cellebrite

Moxie Marlinspike, fundador do Signal e notório hacker, teve acesso aos softwares da Cellebrite, empresa israelense especializada em desbloquear celulares, incluindo iPhones — eles foram usados, por exemplo, para recuperar as conversas apagadas dos celulares da mãe e da empregada doméstica no caso do assassinato do menino Henry, no Rio, em março.

No relato, Moxie comenta que o software da Cellebrite está recheado de vulnerabilidades, e que uma delas, se explorada, é capaz de comprometer a integridade de todas as extrações, já feitas e futuras, a partir do software. Além disso, usa pedaços de código da Apple, provavelmente sem autorização. Em nota “totalmente não relacionada”, ele avisou que o Signal gerará arquivos periodicamente cuja função não tem a ver nem interfere no uso do app, mas que são bonitos, “e estética é importante em software”. Via Signal (em inglês).

Falhas no WhatsApp permitem que conta seja bloqueada remotamente

Os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña encontraram algumas falhas no WhatsApp que, exploradas em conjunto, podem levar ao bloqueio permanente de uma conta no serviço, mesmo com a confirmação em duas etapas ativada.

Resumidamente, eles tentam ativar um número em outro celular repetidas vezes, errando de propósito o código de ativação, até bloquear a geração de novos códigos por 12 horas. Depois, enviam um e-mail para support@whatsapp.com pedindo para que a conta da vítima seja desativada (e, surpreendentemente, ela é; é um sistema automatizado que não verifica a titularidade da conta requisitada). Ao repetir o processo pela terceira vez, em vez de 12 horas, o bloqueio à ativação passa a ser de -1, ou seja, infinito.

O ataque não concede acesso à conta da vítima, mas pode inutilizar sua conta no WhatsApp. À Forbes, que relatou o esquema, o WhatsApp informou que, por precaução, recomenda aos usuários registrarem um e-mail junto à confirmação em duas etapas, porque isso “ajuda a nossa equipe de serviço ao usuário auxiliar pessoas que se depararem com esse problema improvável”. Via Forbes.

Dados públicos de 1,3 milhão de usuários do Clubhouse estão sendo distribuídos

Depois de Facebook e LinkedIn, agora foi a vez do Clubhouse ter dados vazados. A técnica foi a mesma: raspagem de dados mediante uma API pública sem muito controle. No caso do Clubhouse, foram 1,3 milhão de registros, cada um com alguns dados públicos como nome, foto, data da criação da conta e número de seguidores, que estão sendo distribuídos gratuitamente em um fórum na internet.

O Clubhouse protestou no Twitter, dizendo que os dados não vieram de um hacking ou vazamento. O caso é menos problemático que o do Facebook, pela escala e pelos dados obtidos, e o debate é válido: abusar de uma API para consolidar dados públicos em bancos de dados acessíveis é o mesmo ou equiparável a hackear? Via CyberNews (em inglês).

Facebook recorre ao duplipensar para explicar o vazamento de dados de meio bilhão de usuários

A reação do Facebook ao vazamento de +500 milhões de números de telefone de usuários e outros dados pessoais da rede social tem sido fascinante.

“É importante entender que os agentes mal-intencionados obtiveram esses dados não por meio de hacking em nossos sistemas, mas através da raspagem desses dados em nossa plataforma antes de setembro de 2019”, diz a empresa num post sob o título “Entenda os fatos por trás da notícia sobre dados do Facebook” (qual notícia?), como se fizesse alguma diferença o “modus operandi” ou a data da pilhagem de dados.

Fato é que os dados pessoais de meio bilhão de pessoas, que estavam sob a guarda do Facebook, agora estão sendo distribuídos de graça no esgoto da internet.

Alguns parágrafos abaixo, o Facebook diz que “Quando soubemos que esse recurso estava sendo usado de forma indevida em 2019, fizemos alterações ao importador de contatos”. Ora, se não foi hacking, não havia falha, e se não havia falha, por que foram feitas “alterações ao importador de contatos”? Parece até que o Facebook está adotando o duplipensar como estratégia de comunicação. Via Facebook.

Vazam dados pessoais de 533 milhões de usuários do Facebook

Um banco de dados com registros de 533 milhões de usuários do Facebook foram disponibilizados gratuitamente na internet. O banco contém números de telefone, IDs do Facebook, nomes completos, localizações, aniversários, biografias, status de relacionamento, data da criação do perfil e, em alguns casos, endereços de e-mail, e segundo a Hudson Rock, empresa de ciberinteligência que descobriu o vazamento, provavelmente foi criado explorando uma falha do início de 2020 no Facebook que permitia capturar telefones de qualquer usuário.

O Business Insider fez alguns testes preliminares, com sucesso, para atestar a legitimidade dos dados vazados.

Alon Gal, co-fundador e CTO da Hudson Rock, especificou de quais países são os dados. No Brasil, são 8,06 milhões de perfis afetados. Via Business Insider (em inglês), @UnderTheBreach/Twitter (em inglês).

Backups na nuvem criptogrados estão a caminho do WhatsApp

Existe um buraco na criptografia de ponta a ponta do WhatsApp: os backups na nuvem. Tanto no Android (Google Drive) quanto no iOS (iCloud), os backups na nuvem não são criptografados de ponta a ponta, o que significa que alguém que obtenha acesso a esses espaços pode ler as mensagens salvas.

Isso parece prestes a mudar. O WABetaInfo encontrou vestígios em uma versão de testes do WhatsApp de uma nova opção para criptografar backups do aplicativo. Ainda não se sabe quando o recurso será liberado. Via @WABetaInfo/Twitter.

LastPass restringirá acesso de usuários gratuitos a um tipo de dispositivo

O LastPass, um popular serviço de gerenciamento de senhas, anunciou mudanças nas regras para usuários gratuitos. A partir de 16 de março, ele terá que escolher um tipo de dispositivo, computadores ou móveis (celulares e tablets), para guardar e acessar suas senhas. Antes, usuários gratuitos podiam usar o serviço em todos os seus dispositivos, sem limitações. Outra mudança é que os usuários não pagantes perderão o suporte por e-mail. A versão paga do LastPass custa US$ 3/mês (no plano anual). Via LastPass.

Novo vazamento expõe mais de 100 milhões de contas de celular

A PSafe encontrou outro banco de dados enorme de brasileiros sendo comercializado na “dark web”. Desta vez, são pouco mais de 100 milhões de cadastros de celulares, das operadoras Claro e Vivo, com dados detalhados incluindo nome, telefone, endereço e o histórico de relacionamento com a operadora. Para comprovar a veracidade, o cibercriminoso enviou dados do presidente Jair Bolsonaro (sem partido) e da apresentadora Fátima Bernardes. A PSafe enviará um relatório detalhado da descoberta à Autoridade Nacional de Proteção de Dados (ANPD). Via Neofeed.

App com +10 milhões de download é removido da Play Store por conter malware

O Google removeu o app Barcode Scanner da Play Store. Com mais de 10 milhões de downloads, ele servia para ler QR codes. Aparentemente, o app foi vendido em 2020 a uma empresa chamada LavaBird, que achou que seria uma boa ideia incluir no app, em novembro, um código que passava a abrir anúncios no celular do usuário. Via Malwarebytes (em inglês), Android Police (em inglês).

» O Google não excluiu o aplicativo dos celulares de quem já o baixou. Se você tem o Barcode Scanner instalado, é uma boa ideia removê-lo.

» É bem provável que o app da câmera nativo do seu aparelho consiga ler QR codes. Verifique. Se sim, é um app a menos para ocupar espaço e gerar esse tipo de brecha no seu celular.

Experian diz que investiga se está envolvida em escândalo de vazamento de dados no Brasil

A sede da Experian negou nesta segunda (8), outra vez, que a Serasa seja a fonte do vazamento de dados de mais de 220 milhões de CPFs no Brasil. Em nota, a empresa disse que após “exaustivas investigações” não encontrou evidências do envolvimento da Serasa, sua subsidiária brasileira, e que alguns dados incluídos no banco de dados à venda, como fotos, detalhes de previdência social, registros de veículos e dados de login de mídia social, não são coletados nem mantidos pela Serasa. Via Uol Tilt.

Google desativa e bane extensão The Great Suspender para Chrome

Em junho de 2020, o criador da The Great Suspender, uma extensão que gerencia abas no Chrome, vendeu seu projeto a uma empresa misteriosa. Desde então, o repositório se encheu de tópicos como este questionando se o novo dono estaria injetando código malicioso na extensão. Nesta sexta (5), o Google acabou com a brincadeira e excluiu a The Great Suspender da Chrome Web Store e a desabilitou para quem já a tinha instalada no Chrome. Via The Verge (em inglês).

Anatel não homologará equipamentos com senhas padrões e/ou fáceis

Notícia do mês passado, mas vale o registro. A Anatel determinou, no Ato 77 de 5 de janeiro de 2021, uma série de novas regras para equipamentos de telecomunicações que precisam ser homologados pela agência para serem comercializados no Brasil. Entre elas, a proibição de senhas padrões (“admin”, quem nunca?) e “hardcoded” (embutidas no código-fonte), além de pedir obrigatoriamente, no primeiro uso, para que o usuário crie uma senha complexa (não vale 123456, por exemplo); proteção nativa contra ataques de força bruta; e garantia de atualização por no mínimo dois anos. As novas regras passam a valer 180 dias após a publicação do ato. Anatel via The Hack.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Do NOT follow this link or you will be banned from the site!