.
A Microsoft escreveu na semana passada que suas “investigações não detectaram nenhum outro uso desse padrão por outros atores e a Microsoft tomou medidas para bloquear o abuso relacionado”. Mas se a chave de assinatura roubada poderia ter sido usada para violar outros serviços, mesmo que não tenha sido usada dessa forma no incidente recente, a descoberta tem implicações significativas para a segurança dos serviços em nuvem da Microsoft e outras plataformas.
O ataque “parece ter um escopo mais amplo do que o inicialmente previsto”, escreveram os pesquisadores do Wiz. Eles acrescentaram: “Este não é um problema específico da Microsoft – se uma chave de assinatura do Google, Facebook, Okta ou qualquer outro provedor de identidade importante vazar, as implicações serão difíceis de compreender”.
Os produtos da Microsoft são onipresentes em todo o mundo, e Luttwak, da Wiz, enfatiza que o incidente deve servir como um aviso importante.
“Ainda há perguntas que só a Microsoft pode responder. Por exemplo, quando a chave foi comprometida? E como?” ele diz. “Uma vez que sabemos disso, a próxima pergunta é: sabemos que é a única chave que eles comprometeram?
Em resposta ao ataque da China às contas de e-mail em nuvem do governo dos EUA da Microsoft – uma campanha que as autoridades dos EUA descreveram publicamente como espionagem – a Microsoft anunciou na semana passada que fará mais de seus serviços de registro em nuvem gratuitos para todos os clientes. Anteriormente, os clientes tinham que pagar por uma licença para a oferta Purview Audit (Premium) da Microsoft para registrar os dados.
O diretor-assistente executivo para segurança cibernética da Agência de Segurança Cibernética e Infraestrutura dos EUA, Eric Goldstein, escreveu em um post de blog também publicado na semana passada que “pedir que as organizações paguem mais pelo registro necessário é uma receita para visibilidade inadequada na investigação de incidentes de segurança cibernética e pode permitir que adversários tenham níveis perigosos de sucesso ao atingir organizações americanas”.
Desde que a OpenAI revelou o ChatGPT para o mundo em novembro passado, o potencial da IA generativa se tornou popular. Mas não é só texto que pode ser criado, e muitos dos danos emergentes da tecnologia estão apenas começando a ser percebidos. Esta semana, a instituição de caridade de segurança infantil do Reino Unido, a Internet Watch Foundation (IWF), que vasculha a web em busca de imagens e vídeos de abuso sexual infantil e os remove, revelou que está cada vez mais encontrando imagens de abuso geradas por IA online.
Em junho, a instituição de caridade começou a registrar imagens de IA pela primeira vez, dizendo que encontrou sete URLs compartilhando dezenas de imagens. Isso incluiu gerações de meninas de cerca de 5 anos posando nuas em posições sexuais, de acordo com a BBC. Outras imagens eram ainda mais gráficas. Embora o conteúdo gerado represente apenas uma fração do material de abuso sexual infantil disponível on-line em geral, sua existência preocupa os especialistas. A IWF diz que encontrou guias sobre como as pessoas podem criar imagens realistas de crianças usando IA e que a criação das imagens, que é ilegal em muitos países, provavelmente normalizará e encorajará comportamentos predatórios em relação às crianças.
Depois de ameaçar lançar repressões globais de compartilhamento de senhas por anos, a Netflix lançou as iniciativas nos EUA e no Reino Unido no final de maio. E o esforço parece estar indo conforme o planejado. Nos lucros divulgados na quinta-feira, a empresa disse que adicionou 5,9 milhões de novos assinantes nos últimos três meses, um salto quase três vezes maior do que o previsto pelos analistas. Os assinantes de streaming se acostumaram a compartilhar senhas e rejeitaram as novas regras estritas da Netflix, que foram motivadas pela estagnação de novas inscrições de assinantes. Mas, no final das contas, pelo menos uma parte dos compartilhadores de contas parece ter desistido e começado a pagar por conta própria.
.
