.
Infosec em resumo Concluímos que todos ainda estão se preparando para o Ano Novo. Excluir telas de e-mails não lidos, fazer cara de corajoso nas reuniões e ir lentamente se atualizando. Enquanto você se recupera das férias de Natal, Meta está ocupado apresentando novas maneiras de monetizar seus hábitos de navegação na web, ao mesmo tempo em que se veste como uma melhoria na experiência do usuário.
A última tentativa de extrair dados mais vendáveis vem na forma de histórico de links, que lista as páginas da web que você visitou usando o navegador integrado aos aplicativos Meta. O histórico de links armazena registros por 30 dias, pode ser usado para recuperar páginas lidas anteriormente e exclui links enviados em mensagens. Isso pode ser conveniente, com certeza.
Mencionado com menos destaque nas páginas de ajuda que descrevem o recurso no Facebook e Instagram é, obviamente, talvez o verdadeiro motivo para o recurso: “Podemos usar informações do histórico de links de nosso navegador para melhorar seus anúncios em tecnologias Meta”.
E aí está: um novo recurso que é na verdade uma maneira de aumentar a publicidade direcionada depois que mudanças da Apple e de outros prejudicaram a capacidade do Meta de coletar informações sobre seus usuários. Se você não deseja receber anúncios adaptados aos seus hábitos de navegação, consulte os links acima para cancelar.
Vulnerabilidades críticas: um ano novo muito irregular
Não há descanso para as equipes de segurança rumo a 2024, com a semana passada nos trazendo várias correções de segurança para vulnerabilidades críticas, incluindo vários problemas recentemente relatados no Chrome.
O último lançamento de canal estável para Chrome Desktop inclui seis correções de segurança, quatro das quais o Google destacou para reconhecimento nas notas de lançamento. Dois problemas no ANGLE foram resolvidos, assim como problemas de uso após liberação no WebAudio e WebGPU. Patch o mais rápido possível!
Em outro lugar:
- CVSS 9.8 – Vários CVEs: O software FactoryTalk Activation Manager v4.00 da Rockwell Automation contém alguns bugs de gravação fora dos limites que podem dar a um invasor controle total do sistema.
- CVSS 9.8 – CVE-2023-6448: Os PLCs e IHMs da série Unitronics Vision estão sendo enviados com senhas administrativas padrão que precisam ser alteradas e a CISA avisa que está sob exploração ativa.
- CVSS 9.6 – CVE-2023-39336: Ivanti Endpoint Manager 2022 SU4 e todas as versões anteriores são vulneráveis à injeção de SQL de qualquer pessoa com acesso à mesma rede que uma máquina vulnerável.
Algumas novas explorações também foram detectadas sendo usadas esta semana:
- CVSS 8.8 – CVE-2023-7024: Relatamos esse estouro de buffer de heap do Chrome no final do ano passado.
- CVE-2023-7101: Não há pontuação CVSS disponível para esta vulnerabilidade recém-descoberta em Spreadsheet::ParseExcel, um módulo Perl usado para analisar arquivos Excel. A entrada não está sendo validada corretamente, abrindo uma janela RCE.
Cuidado com os sequestros do Twitter
Se você perdeu, a empresa de segurança Mandiant, de propriedade do Google, teve embaraçosamente sua conta no Twitter sequestrada na semana passada por um curto período e transformada em uma máquina de venda de golpes de criptomoeda.
Outra vítima, a empresa web3 CertiK, foi atingida por um semelhante grupo de malfeitores também. Como no caso da Mandiant, os sequestradores do CertiK tentaram enganar os seguidores criptoconscientes da empresa para que caíssem em golpes.
Não está totalmente claro como qualquer um dos incidentes aconteceu. Mandiant observou: “Como você provavelmente notou… A Mandiant perdeu o controle desta conta X que tinha 2FA habilitado. Atualmente, não há indicações de atividade maliciosa além da conta X afetada, que está de volta sob nosso controle. Compartilharemos nosso resultados da investigação, uma vez concluídos.”
Considere os sequestros como um lembrete: não apenas verificar para ter certeza de que o 2FA ainda está ativado em sua conta X, tome medidas para garantir que esses tokens não possam ser roubados ou obtidos junto com as credenciais de login.
A propósito de nada, não pudemos deixar de notar que o executivo-chefe de um fundo criptográfico falido aparentemente nunca existiu…
Não-príncipe nigeriano algemado no BEC
Um cidadão nigeriano foi preso e aguarda extradição para os EUA sob a acusação de ter fraudado duas instituições de caridade americanas em mais de US$ 7,5 milhões por meio de um esquema de comprometimento de e-mail comercial.
De acordo com o Departamento de Justiça dos EUA, Olusegun Samson Adejorin supostamente comprou uma ferramenta de roubo de credenciais e a usou para coletar detalhes para as duas instituições de caridade, uma em Maryland e outra em Nova York.
Usando as credenciais roubadas, Adejorin supostamente pediu ao banco de caridade de Maryland que liberasse grandes somas de dinheiro para a instituição de caridade de Nova York. Isto não é imediatamente suspeito, já que a instituição de caridade de Nova York usou a de Maryland para serviços de investimento. As retiradas acima de US$ 10.000 exigiam a aprovação da instituição de caridade de Maryland, que a Adejorin, supostamente tendo uma posição em ambas as empresas, teve o prazer de fornecer. Os dados bancários, é claro, não eram da instituição de caridade de Nova York, mas controlados pela Adejorin, afirma-se.
Não está claro como Adejorin foi capturado, mas se for condenado, sua sentença poderá ser considerável. Enfrentando oito acusações, o nigeriano pode pegar até 20 anos por cada uma das cinco acusações de fraude eletrônica, cinco anos por acesso não autorizado a um computador protegido e dois anos cada por duas acusações de roubo de identidade. ®
.
