.
em resumo A montadora japonesa Toyota admitiu mais uma vez ter manipulado incorretamente os dados dos clientes – desta vez dizendo que expôs informações sobre mais de dois milhões de clientes japoneses na última década, graças a um ambiente de nuvem mal configurado.
Toyota explicado em um idioma japonês declaração que tomou medidas para bloquear o acesso externo ao sistema de nuvem inseguro assim que percebeu o problema – mas o fato de ter demorado uma década para perceber não é exatamente reconfortante.
“Havia uma falta de mecanismos de detecção ativa e atividades para detectar a presença ou ausência de coisas que se tornavam públicas”, disse um porta-voz da Toyota. contado Reuters.
Os dados expostos pertencem a quase toda a base de clientes japoneses que se inscreveram no produto de assistência ao motorista T-Connect da Toyota e usuários do serviço G-Link – um produto semelhante para a subsidiária de luxo da Toyota, Lexus.
De acordo com a montadora, IDs de terminais de veículos, números de chassis, informações de localização de veículos e carimbos de data/hora foram incluídos nos dados expostos, mas a Toyota disse que nada no conjunto de dados poderia ser usado para identificar clientes com base apenas nos dados. A Toyota também disse que não encontrou nenhuma indicação de que os dados foram acessados ou copiados por terceiros desde novembro de 2013, quando o serviço em nuvem foi exposto pela primeira vez.
Seria fácil descartar o incidente como um acidente bastante sério, mas a Toyota já fez isso antes: admitiu apenas no ano passado a expor dados de quase 300.000 clientes T-Connect graças a outro acidente de segurança.
Nesse caso, um desenvolvedor subcontratado trabalhando no T-Connect carregou o código-fonte no GitHub que continha uma chave de acesso para um servidor que armazenava dados do cliente. Isso ocorreu em 2017 e – no que está começando a parecer um padrão – a empresa não percebeu até setembro de 2022. Nesse caso, a Toyota nem conseguiu confirmar se alguma parte desagradável havia acessado os dados.
Entramos em contato com a Toyota para saber mais sobre este último incidente, mas não recebemos resposta.
Só porque você pode fazer peças de armas com impressão 3D não significa que você deve
Um homem do Mississippi foi condenado a 14 anos de prisão depois de se declarar culpado de dispositivos de impressão 3D chamados “auto-sears”, que são projetados para transformar armas semiautomáticas em metralhadoras automáticas.
Kent Edward Newhouse foi condenado por ser um criminoso em posse de uma arma de fogo e se envolver em negócios como fabricante de armas de fogo para imprimir o $ 20 acessórios para armas de fogo. O pequeno componente de encaixe modifica as armas de fogo, impedindo que o martelo caia e reiniciando o gatilho – permitindo que um carregador inteiro seja esvaziado com um único puxão.
Apesar de ser apenas uma peça de modificação, a lei federal classifica auto-sears como armas de fogo automáticas em si mesmas, permitindo que os policiais tratem qualquer pessoa que possua uma como se estivesse em posse de uma metralhadora ilegal.
Newhouse foi pego quando vendeu a um informante confidencial uma arma de fogo e vários de seus auto-sears caseiros. Ele já havia sido condenado em 2009 por um crime de venda de substâncias controladas.
Vulnerabilidades críticas: cuidado com cortes de papel
sendo este um Patch terça-feira semananossa lista de vulnerabilidades críticas já foi coberta por Strong The One – mas ainda faltam alguns itens.
Em primeiro lugar, há a reiteração do CVE-2023-27350 da CISA, que abordado em um resumo de segurança cibernética no mês passado. Apesar de um patch, ele ainda está por aí e ainda está sendo explorado, disse a CISA. Como mencionado anteriormente, o bug nos serviços de gerenciamento de impressão PaperCut MF e NG pode permitir que um invasor não autenticado execute código malicioso remoto. Já que tem sido grave o suficiente para alertar o público duas vezes, achamos que devemos lembrar nossos leitores mais uma vez de instalar os patches aplicáveis se sua instituição usar o PaperCut.
A CISA também divulgou algumas vulnerabilidades do sistema de controle industrial, das quais apenas uma era crítica, obtendo uma pontuação CVSS de 9,8. O problema está no equipamento Hitachi Energy MSM versão 2.2.5 e anterior, que contém várias vulnerabilidades que podem fornecer a um invasor credenciais de acesso à interface da Web e causar negação de serviço. A Hitachi disse que o MSM não deve estar diretamente conectado à Internet e, em vez de aplicar patches, recomenda que os clientes desconectem seus dispositivos das redes voltadas para a Internet, implementem o gerenciamento de acesso do usuário e outras práticas recomendadas.
Criptografia intermitente? Existe uma ferramenta de código aberto para isso
A empresa de gerenciamento de identidade CyberArk lançou uma ferramenta de código aberto que pode – em certas circunstâncias – recuperar dados criptografados por ransomware.
Apelidado de White Phoenix, é um script Python simples projetado para extrair dados de arquivos resgatados que são criptografados apenas intermitentemente, o que a CyberArk disse ser uma tendência crescente no mundo do ransomware – favorecido por sua velocidade e tendência de tornar um ataque de resgate menos perceptível, enquanto ainda fazendo dano.
Com apenas um caminho para um arquivo criptografado e um caminho de saída, o White Phoenix pode recuperar texto e imagens de arquivos criptografados, com cada saída de bloco em um arquivo separado para recuperação pós-processo. A partir de agora, apenas arquivos PDF, Word, Excel, PowerPoint e Zip são suportados, mas a CyberArk disse que outros formatos – incluindo arquivos de vídeo e áudio – podem funcionar. Incentiva a experimentação para melhorar o software.
As famílias de ransomware suportadas pela White Phoenix incluem BlackCat, Play, Qilin/Agenda, BianLian e Darkbit. Aqueles que gostariam de testá-lo podem encontre-o no GitHub.
França multa Clearview AI por não pagar a primeira multa
Clearview AIa plataforma de reconhecimento facial que entrou em conflito com as leis de coleta de dados em várias ocasiões, foi multada em € 5,2 milhões (US$ 5,6 milhões) pela agência de proteção de dados da França, a CNIL, por não pagar uma multa muito maior 20 milhões de euros de multa cobrada contra ela no ano passado.
A CNIL disse que a Clearview AI violou o Regulamento Geral de Proteção de Dados da UE ao catalogar fotos pertencentes a residentes da UE postadas em mídias sociais e outras plataformas online. Se a Clearview pagaria qualquer uma das multas, não está claro. A empresa afirma que não está vinculada ao GDPR, pois não faz negócios na UE. No entanto, o GDPR proíbe o processamento de dados pertencentes a cidadãos da UE, independentemente de uma organização fazer negócios no continente. ®
.
