.
Infosec em resumo A empresa de testes genéticos 23andMe resolveu um caso de ação coletiva proposta relacionada a uma violação de dados em 2023 por US$ 30 milhões.
Documentos [PDF] arquivado em um tribunal federal de São Francisco na última quinta-feira indicam que a 23andMe desembolsará o pote de dinheiro para resolver reivindicações de qualquer um dos 6,4 milhões de cidadãos dos EUA (conforme documentos do tribunal) cujos dados foram roubados durante o incidente. O acordo inclui um acordo para fornecer três anos de privacidade, monitoramento médico e genético.
Para aqueles que podem ter esquecido, a 23andMe, que oferece serviços de testes genéticos, sofreu uma grande violação de dados em 2023, que fez com que milhões de dados de seus clientes fossem roubados e colocados à venda na dark web.
O indivíduo por trás da violação visou especificamente clientes judeus asquenazes e chineses do 23andMe. O invasor teve cinco meses de acesso irrestrito aos sistemas do serviço, que passaram despercebidos até que alguém mencionou dados do 23andMe à venda em uma publicação do Reddit.
A 23andMe descreveu os termos do acordo como “justos, razoáveis e adequados” em documentos judiciais, que revelam que a 23andMe precisava resolver a questão por se encontrar “em uma situação financeira incerta” devido ao litígio contínuo.
Justo – as ações da 23andMe nunca foram valiosas, mas sua capitalização de mercado despencou desde que o incidente se tornou de conhecimento público. Em seu relatório de lucros mais recente no início do mês passado, a 23andMe registrou perdas consideráveis – com receita 34% menor em comparação ao mesmo período do ano passado, US$ 69 milhões em perdas trimestrais e mais de 20% menos dinheiro em caixa do que no final do trimestre anterior, com apenas US$ 170 milhões nos balanços.
Em outras palavras, este não é apenas um acordo insignificante: ele vai tirar uma parte das reservas da 23andMe.
Ou pelo menos teria, se o seguro não cobrisse. Falando à Reuters, a 23andMe disse que espera que cerca de US$ 25 milhões de seus custos de liquidação sejam cobertos.
Vulnerabilidades críticas da semana: Git patching’!
O Patch Tuesday da semana passada não foi a última palavra em falhas críticas encontradas recentemente. Temos alguns itens para compartilhar – começando com alguns problemas de tempo para patch do GitLab.
A empresa de devops SaaSy lançou atualizações na semana passada para lidar com 17 patches de segurança, incluindo um no CVSS 9.9 rastreado em CVE-2024-6678. Esse pequeno problema permite que um invasor acione um pipeline como um usuário arbitrário em certas circunstâncias em várias versões do GitLab CE/EE.
Em outro lugar:
- CVSS 9.3 – CVE-2024-40766: Uma vulnerabilidade de controle de acesso impróprio no SonicWall SonicOS que pode ser explorada para travar o dispositivo está sendo explorada em campo.
- CVSS 8.4 – CVE-2016-3714: Lembra do bug do ImageMagick de 2016? Sim, ainda por aí, e ainda sendo abusado.
Apple desiste do processo contra o NSO Group
Preocupada com o fato de que o caso poderia causar mais mal do que bem, a Apple decidiu retirar o processo contra o fabricante do spyware Pegasus, o NSO Group.
Documentos judiciais protocolados pela Apple na sexta-feira passada indicam que a Fruit Cart está preocupada que o processo de descoberta contra o NSO Group, sediado em Israel, possa fazer com que dados confidenciais da Apple cheguem ao NSO e a empresas como ela, permitindo a criação de ferramentas de spyware adicionais usadas por estados-nação.
Junto com a preocupação com a segurança de seu próprio software, a Apple também alegou que não tinha confiança na honestidade da NSO ao produzir documentos, citando um artigo no The Guardian que relatou que autoridades israelenses foram usadas para roubar arquivos confidenciais da sede da NSO para manter informações longe dos americanos.
A Apple argumentou em seu processo que, embora não soubesse se a história era verdadeira, levantou preocupações sobre se todo o assunto seria apenas uma perda de tempo e dinheiro.
Supervisor de TI do IRS se declara culpado de extorsão e aceitação de subornos
Fale sobre um péssimo líder de equipe de engenharia. Satbir Thukral, um ex-engenheiro de computação e supervisor de projeto de TI no US Internal Revenue Service (IRS), declarou-se culpado na semana passada por aceitar propinas para colocar pessoas subqualificadas em empregos e extorquir um contratado do IRS.
Thukral teria começado a exigir pagamentos em dinheiro de uma empresa em um contrato com o IRS que ele supervisionava quase assim que eles foram contratados, extorquindo mais de US$ 120.000 da empresa até o final de 2020. Quando a empresa disse que não pagaria mais, Thukral teria ameaçado o proprietário com “consequências econômicas” se ele não cumprisse.
Separadamente, Thukral também foi pego recebendo propinas totalizando US$ 2.800 em dinheiro de um contratante por “facilitar a continuidade do emprego de dois indivíduos subqualificados em dois outros subcontratados do IRS”, de acordo com o Departamento de Justiça.
Thukral se declarou culpado de aceitar propina de um funcionário público e agora enfrenta uma pena máxima de 15 anos de prisão.
Cuidado com essa oferta de emprego, Pythonista: pode ser uma campanha de malware
Campanhas de malware que imitam testes de habilidades para desenvolvedores não são nenhuma novidade, mas esta, que tem como alvo desenvolvedores Python, é.
Relatado por pesquisadores do ReversingLabs, o malware usa uma tática semelhante a campanhas previamente identificadas que tentam enganar desenvolvedores para baixar pacotes maliciosos disfarçados de testes de habilidades. Depois que a vítima compila o código e resolve quaisquer problemas que os pacotes contenham, seu sistema é infectado.
Assim como campanhas anteriores do mesmo tipo, que tinham como alvo principal desenvolvedores de JavaScript, a ReversingLabs suspeita que esta esteja ligada à Coreia do Norte.
Conforme relatamos, os agentes de ameaças norte-coreanos estão por trás de várias campanhas usando ofertas de emprego falsas para infectar sistemas com backdoors e infostealers. Em campanhas anteriores, empregos falsos na Oracle, Disney ou Amazon foram usados como iscas – desta vez, parece que os invasores estão se passando por empresas de serviços financeiros.
Então, se você receber uma oferta de emprego do Capital One (um exemplo citado pelo ReversingLabs) que parece boa demais para ser verdade e quer que você baixe um arquivo, talvez tente verificar a legitimidade da oferta antes de fazer qualquer coisa.
Chefões da dark web indiciados
Dois cidadãos russos e cazaques foram presos e acusados de envolvimento na administração de mercados, fóruns e instalações de treinamento para criminosos na dark web.
O cazaque Alex Khodyrev e o russo Pavel Kublitskii foram presos em Miami e acusados de conspiração para cometer fraude de dispositivo de acesso e conspiração para cometer fraude eletrônica na semana passada, exultantes com um site que administraram por uma década chamado wwh.club.ws.
Os usuários do WWH Club podiam comprar e vender informações pessoais roubadas, discutir as melhores práticas para conduzir vários tipos de atividades ilegais e até mesmo fazer cursos sobre como cometer fraudes e outros crimes. Khodyrev, Kublitskii e outros envolvidos no site “lucraram com taxas de associação, mensalidades e receita de publicidade”, alegou o DoJ.
Embora não tenha especificado quaisquer ganhos que a dupla possa ter obtido, o DoJ observou que estava apreendendo os veículos Mercedes-Benz e Cadillac da dupla, que as autoridades disseram serem supostamente rastreáveis aos lucros dos crimes. ®
.
