Vazamento

10 anos das revelações de Snowden.

Na terça (6), completou-se dez anos das revelações de espionagem estatal, pela NSA (Estados Unidos) e GCHQ (Reino Unido), feitas por Edward Snowden. Hoje, Snowden vive na Rússia e sob o risco de ser preso caso saia de lá.

Em entrevista recente a Ewen MacAskill, um dos três jornalistas que noticiaram o vazamento de informações em 2013, Snowden disse não se arrepender e que “a tecnologia cresceu e se tornou enormemente influente”. E que:

Se pensarmos no que vimos em 2013 e nas capacidades dos governos hoje, 2013 parece brincadeira de criança.

Também no Guardian: o que realmente mudou dez anos após as revelações de Snowden? (em inglês).

10/6/23, 9h02 ·
Comente

Cofres de usuários do LastPass vazaram em incidente de agosto.

O LastPass avisou na quinta-feira (22) que na invasão sofrida em agosto, divulgada no início de dezembro, cofres criptografados que armazenam as senhas dos usuários foram levados.

Além da demora em divulgar essa informação, a forma com que fez gerou críticas. Especialistas em segurança digital e até rivais dizem que o LastPass está minimizando a gravidade da situação e que o último comunicado, dias antes do Natal, preparou o terreno para jogar a culpa de possíveis senhas comprometidas nos usuários.

O The Verge fez um bom apanhado dessas reações.

A essa altura, não é exagero dizer que o uso do LastPass é um risco. Se for o seu caso, talvez seja uma boa tirar um dia para migrar para outra solução (1Password, Bitwarden e KeePassXC são alternativas recomendáveis) e trocar as senhas pelo menos dos serviços mais sensíveis. Via LastPass.

29/12/22, 8h33 ·
12 comentários

LastPass sofre invasão, a segunda em 2022.

O LastPass sofreu outra invasão — a segunda em 2022. De acordo com a empresa, os invasores usaram informações obtidas no ataque anterior, de agosto, para acessar uma nuvem de terceiros usada pela empresa e conseguirem informações dos clientes/usuários. As senhas armazenadas no serviço, que são criptografadas, não foram afetadas.

Desde 2015, somente em dois anos (2018 e 2020) o LastPass não foi alvo de ataques ou apresentou falhas de segurança. Para um serviço que gerencia senhas, é um histórico ruim, ainda que, segundo a empresa, em nenhum momento as senhas em si tenham sido afetadas. Fica difícil confiar.

Felizmente, existem alternativas melhores no mercado, como 1Password, Bitwarden e KeePassXC — os dois últimos, gratuitos e de código aberto. Se você é um dos 33 milhões de usuários que o LastPass alega ter, talvez seja boa ideia começar a planejar uma migração. Via LastPass (em inglês).

1/12/22, 8h42 ·
20 comentários

Eu anuncio que sou um hacker e a Uber sofreu um vazamento de dados.

— Hacker de 18 anos que invadiu sistemas internos da Uber e fez uma devassa.

A boa e velha engenharia social vitimou a Uber. Sistemas internos foram invadidos e dados sensíveis, como e-mails e códigos-fonte, levados. Parece algo grande e sério.

O anúncio acima foi feito pelo hacker no Slack da Uber. Funcionários acharam, a princípio, que era uma piada.

Não era. Via New York Times (em inglês).

16/9/22, 10h19 ·
1 comentário

Documento interno da Meta mostra que audiência dos Reels no Instagram é ~1/10 da do TikTok.

O Wall Street Journal obtive um documento interno da Meta, intitulado “Creators x Reels State of the Union 2022”, com dados suculentos da rixa entre Instagram e TikTok. Destaques de lá:

  • A audiência acumulada dos Reels, a resposta do Instagram ao TikTok, é de 1/10 do rival chinês: 17,6 milhões de horas por dia consumidas em Reels no Instagram contra 197,8 milhões de horas por dia no TikTok.
  • Nos EUA, apenas 20,7% dos cerca de 11 milhões de criadores de conteúdo do Instagram estão produzindo Reels.
  • Cerca de 1/3 dos Reels publicados no Instagram são originários de outras redes sociais, em especial o TikTok.
  • O engajamento dos usuários do Instagram com Reels tem caído. Em agosto, data da publicação do documento, a audiência dos Reels estava em queda de 13,6% em relação às quatro semanas anteriores.
  • Do documento: “A maioria dos usuários de Reels não têm qualquer engajamento.”

A Meta disse, via porta-voz, que os números são desatualizados e não refletem a realidade. Só não especificou qual realidade, se a nossa ou a em que Mark Zuckerbergh parece estar vivendo. Via Wall Street Journal (em inglês).

13/9/22, 13h51 ·
3 comentários

Um bilhão de pessoas afetadas em possível vazamento de dados na China

5/7/22, 16h34 ·

Em meio ao crescimento da iniciativa chinesa de cibersegurança, no domingo (3) começou a circular o boato de que uma base de dados da polícia de Shanghai (vinculada ao Ministério da Segurança Pública) foi hackeada, segundo os supostos invasores.

O preço pedido pelos hackers no Telegram é de 10 bitcoins ou cerca de 200 mil dólares, segundo matéria da Reuters, que não conseguiu verificar a autenticidade dos dados. A base contém informações pessoais (nome completo, endereço, número de identidade, registros policiais e de saúde) de cerca de um bilhão de pessoas — quase toda a população do país, incluindo menores de idade.

O CEO da corretora de criptomoedas Binance mencionou no Twitter que seus analistas já haviam identificado dados de um bilhão de residentes de um “país asiático” sendo vendidos na dark web. Lembrando que em abril entrou em vigor a lei de proteção de dados pessoais, o que gerou comentário do analista Roger Creemers sobre o uso da lei neste caso.

As autoridades não se manifestaram, mas se confirmado, seria um dos maiores vazamentos de dados da história. Os brasileiros não estão sozinhos.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

Facebook vai recomendar mais conteúdo de gente que você não segue — tipo o TikTok.

Um memorando da Meta assinado por Tom Alison, responsável pelo Facebook, e vazado pelo The Verge, revelou a próxima grande mudança prevista para o Facebook: mais conteúdo recomendado de perfis e páginas que o usuário não segue. Sem surpresa, a rede social original da empresa ficará mais parecida com o TikTok.

O que poderia dar errado?

Outra novidade, também inspirada no TikTok, é trazer de volta o Messenger para o aplicativo principal do Facebook. (Há oito anos, numa decisão controversa, a empresa separou as duas áreas em aplicativos distintos.)

Nem o memorando, nem Tom especificam quando as mudanças chegarão ao Facebook, mas a julgar pela urgência da Meta em transformar os aplicativos da casa numa tentativa desesperada de conter o avanço do TikTok, não deve demorar muito. Via The Verge (em inglês).

17/6/22, 8h27 ·
2 comentários

PF ainda investiga ataques hacker e “megavazamento” de dados um ano depois

5/1/22, 9h33 ·

PF ainda investiga ataques hacker e “megavazamento” de dados um ano depois, por Paula Soprana na Folha de S.Paulo:

O balanço das investigações de ciberataques decepciona. Os principais ataques hacker a órgãos do governo durante a pandemia e a investigação sobre o caso do “megavazamento” — a venda de dados pessoais de 223 milhões de brasileiros na internet—, ocorrido há cerca de um ano, ainda estão sem resposta.

Danilo Doneda, membro do conselho nacional de proteção de dados da Autoridade Nacional de Proteção de Dados (ANPD), à reportagem:

“São tragédias anunciadas. Ao rapidamente culpar hackers, lavamos as mãos sobre a própria responsabilidade do setor público. Os sistemas são invadidos, mas não deveriam ser.”

Curadoria de curadorias dos Facebook Papers.

Os documentos internos do Facebook vazados por Frances Haugen estão nas redações de quase 20 publicações norte-americanas que, desde sexta (22), estão publicando uma avalanche de reportagens virando do avesso o Facebook. As notinhas do Manual são um trabalho de curadoria; dada a quantidade de materiais que já saíram e continuam saindo, esta é diferente, é uma curadoria de curadorias:

Estou me atualizar. Do que você já leu, o que lhe chamou mais a atenção?

25/10/21, 14h26 ·
Comente

Twitch sofre vazamento enorme, incluindo “folha de pagamento” de streamers.

A Twitch, plataforma de streaming da Amazon focada em games, sofreu um enorme vazamento na noite desta terça (5). Um arquivo de 125 GB foi disponibilizado no 4chan. Ele contém todo o código-fonte dos aplicativos da Twitch, o site inteiro twitch.tv, códigos relacionados a ferramentas e serviços internos ligados à AWS, um concorrente da Amazon ao Steam e três anos de dados de pagamentos a criadores de conteúdo.

Pelo Twitter, a Twitch confirmou o vazamento e disse estar “trabalhando com urgência para entender a dimensão disso”.

A forma como o vazamento foi divulgado, com um “parte 1” atrelado, sugere que mais dados sigilosos poderão vir a tona. A pessoa ou grupo que divulgou o vazamento justificou-se, dizendo que a atitude visa “fomentar mais disrupção e competição no espaço do streaming de video game online”.

O vazamento já está rolando por aí. À BBC News, o streamer BBG Calc confirmou que seus dados de faturamento na Twitch batem com os do vazamento. No Brasil, o perfil do Twitter @beescoitu compilou os rendimentos dos 100 streamers da língua portuguesa mais populares. Via Video Games Chronicle (em inglês), BBC News (em inglês), @twitch/Twitter (em inglês), @beescoitu/Twitter.

6/10/21, 19h13 ·
1 comentário

700 milhões de registros do LinkedIn estão à venda.

Um banco de dados gigantesco, com 700 milhões de registros, foi posto à venda em um fórum online. A partir de uma “degustação” de 1 milhão de registros, o site Private Sharks, que deu a notícia em primeira mão, conseguiu confirmar a validade.

O LinkedIn publicou uma nota informando que não houve comprometimento dos seus sistemas e que nem todos os dados contidos no banco à venda têm origem em sua rede. Os que são de lá provavelmente foram obtidos por “raspagem” de perfis públicos. O Private Sharks acredita tratar-se de um mega-pacote baseado em vazamentos anteriores. Via Private Sharks (em inglês), LinkedIn (em inglês).

Não há senhas entre os dados à venda, então não há muito o que fazer para mitigar os danos. Só fique atento a tentativas de golpes por e-mail e outros meios de comunicação.

30/6/21, 10h01 ·
1 comentário

Vazam dados pessoais de 533 milhões de usuários do Facebook.

Um banco de dados com registros de 533 milhões de usuários do Facebook foram disponibilizados gratuitamente na internet. O banco contém números de telefone, IDs do Facebook, nomes completos, localizações, aniversários, biografias, status de relacionamento, data da criação do perfil e, em alguns casos, endereços de e-mail, e segundo a Hudson Rock, empresa de ciberinteligência que descobriu o vazamento, provavelmente foi criado explorando uma falha do início de 2020 no Facebook que permitia capturar telefones de qualquer usuário.

O Business Insider fez alguns testes preliminares, com sucesso, para atestar a legitimidade dos dados vazados.

Alon Gal, co-fundador e CTO da Hudson Rock, especificou de quais países são os dados. No Brasil, são 8,06 milhões de perfis afetados. Via Business Insider (em inglês), @UnderTheBreach/Twitter (em inglês).

3/4/21, 13h39 ·
5 comentários

Novo vazamento expõe mais de 100 milhões de contas de celular.

A PSafe encontrou outro banco de dados enorme de brasileiros sendo comercializado na “dark web”. Desta vez, são pouco mais de 100 milhões de cadastros de celulares, das operadoras Claro e Vivo, com dados detalhados incluindo nome, telefone, endereço e o histórico de relacionamento com a operadora. Para comprovar a veracidade, o cibercriminoso enviou dados do presidente Jair Bolsonaro (sem partido) e da apresentadora Fátima Bernardes. A PSafe enviará um relatório detalhado da descoberta à Autoridade Nacional de Proteção de Dados (ANPD). Via Neofeed.

10/2/21, 17h17 ·
5 comentários

Experian diz que investiga se está envolvida em escândalo de vazamento de dados no Brasil.

A sede da Experian negou nesta segunda (8), outra vez, que a Serasa seja a fonte do vazamento de dados de mais de 220 milhões de CPFs no Brasil. Em nota, a empresa disse que após “exaustivas investigações” não encontrou evidências do envolvimento da Serasa, sua subsidiária brasileira, e que alguns dados incluídos no banco de dados à venda, como fotos, detalhes de previdência social, registros de veículos e dados de login de mídia social, não são coletados nem mantidos pela Serasa. Via Uol Tilt.

8/2/21, 14h34 ·
2 comentários