.
Infosec em resumo Bem-vindo a 2025: espero que você tenha desfrutado de uma agradável temporada de férias e retornado ao centro de operações de segurança sem incidentes – ao contrário da Volkswagen, que na semana passada admitiu ter exposto dados que descrevem as viagens feitas por alguns de seus veículos elétricos, além de informações sobre os proprietários dos veículos.
Estamos tão chocados quanto você porque uma grande empresa deixou dados expostos online, mas aqui estamos novamente. Desta vez, o problema começou na Cariad, subsidiária da VW, segundo o outlet alemão Der Spiegel. A empresa de propriedade integral da VW, encarregada de desenvolver uma plataforma de software para veículos elétricos do Grupo VW, expôs dados internos de aplicativos por meio de subpáginas da web mal protegidas. Essas subpáginas poderiam ser descobertas sistematicamente, revelando o endereço de um arquivo de despejo de memória de um aplicativo interno do Cariad. Um denunciante acessou o arquivo exposto e compartilhou sua descoberta com a Der Spiegel e o Chaos Computer Club.
Um continha credenciais de acesso a um servidor de armazenamento em nuvem AWS que – surpresa, surpresa – incluía dados de telemetria de cerca de 800.000 veículos elétricos VW, Seat, Audi e Skoda localizados na Europa e em outras partes do mundo.
Entre os dados obtidos do servidor AWS estavam o nível da bateria, o status da inspeção, se os carros estavam ligados ou desligados e até dados de geolocalização. Cerca de metade dos veículos no conjunto de dados tinham dados tão precisos que rastreavam os veículos elétricos com uma precisão de dez centímetros, permitindo que um potencial malfeitor roubasse informações detalhadas sobre as viagens que os veículos faziam.
Para piorar a situação, foram encontrados dados adicionais de acesso a um serviço específico da VW que permitia vincular a telemetria dos veículos aos nomes e contactos de motoristas, proprietários ou gestores de frota.
O Chaos Computer Club disse que o assunto foi prontamente resolvido quando informou a Cariad, e os dados não estão mais acessíveis. Os clientes não precisam realizar nenhuma ação e não está claro se algum dos dados foi exposto por outra pessoa que não os pesquisadores.
Independentemente disso, é apenas mais um exemplo de uma empresa que não protege adequadamente os seus recursos na nuvem e cria dores de cabeça de privacidade para os consumidores – bem-vindo ao futuro.
CEO da Tenable falece
O fornecedor de ferramentas de visibilidade de segurança Tenable anunciou no sábado o falecimento repentino de seu CEO e presidente Amit Yoran, de apenas 54 anos
Yoran tirou licença médica a partir de 5 de dezembro de 2024, supostamente para procurar tratamento para câncer.
“Amit foi um líder, colega e amigo extraordinário”, disse Art Coviello, principal diretor independente da Tenable. “Sua paixão pela segurança cibernética, sua visão estratégica e sua capacidade de inspirar as pessoas ao seu redor moldaram a cultura e a missão da Tenable. Seu legado continuará a nos guiar à medida que avançamos.”
A Tenable é uma empresa listada, portanto, o anúncio do falecimento de Yoran inclui conselhos de que a empresa espera que as metas de receita sejam atingidas e que os co-CEOs Steve Vintz e Mark Thurmond continuarão a atuar enquanto a empresa busca um novo líder.
-Simon Sharwood
Vulnerabilidades críticas da semana: Um Palo Alto DoS para o ano novo
Dado que mal saímos da calmaria do feriado, ainda está um pouco quieto – exceto por uma vulnerabilidade CVSS 8.7 relatada no software PAN-OS da Palo Alto Networks.
A loja de segurança identificou CVE-2024-3393, uma falha de negação de serviço no recurso de segurança DNS que permite que invasores não autenticados enviem pacotes maliciosos através do plano de dados do firewall, fazendo com que o dispositivo seja reinicializado. A exploração repetida pode forçar o firewall a entrar no modo de manutenção. A CISA disse que já detectou o problema sendo abusado na natureza, então comece a corrigir! Principalmente porque Palo Alto revelou este no dia 27 de dezembro, data em que poucos administradores estarão prestando atenção.
Do Kwon extraditado para os EUA por supostos crimes criptográficos
O suposto fraudador de criptografia Do Kwon foi extraditado na semana passada para os EUA e se declarou inocente de acusações, incluindo fraude de valores mobiliários, fraude eletrônica, fraude de commodities e conspiração para lavagem de dinheiro.
Kwon, o cofundador e ex-CEO da Terraform Labs, fugiu em 2022 depois que a Coreia do Sul emitiu um mandado de prisão por supostas violações da lei do mercado de capitais de seu país de origem. Os EUA o acusaram de vários crimes relacionados a esquemas supostamente fraudulentos envolvendo declarações falsas e enganosas sobre o protocolo stablecoin de criptomoeda da Terraform, tecnologia blockchain e produtos financeiros, com o objetivo de criar a ilusão de um sistema financeiro funcional, estável e descentralizado para inflar o valor de as criptomoedas.
Se for condenado por todas as acusações, Kwon poderá pegar até 130 anos de prisão nos EUA – e isso sem incluir o que ele poderá enfrentar na Coreia do Sul.
MetLife nega que ransomware tenha atingido sistemas centrais
A gigante de seguros MetLife teria sido vítima de um ataque de ransomware, pelo menos de acordo com o grupo de ransomware RansomHub que afirmou esta semana ter obtido um terabyte de dados da organização com planos de publicá-los.
No entanto, MetLife disse O Registro que a postagem do X (anteriormente Twitter) mencionada acima era imprecisa – o incidente não envolveu seus principais sistemas corporativos.
“Estamos cientes de um incidente cibernético que afetou a Fondo Genesis, uma empresa de serviços financeiros que opera apenas no Equador e é propriedade de uma das subsidiárias da MetLife”, disse-nos a empresa em comunicado enviado por e-mail. “O Fondo Genesis opera separadamente dos sistemas empresariais da MetLife. Portanto, o impacto deste incidente é limitado apenas ao Fondo Genesis.”
RansomHub, que no ano passado emergiu como um grande player de ransomware após a queda do LockBit e ALPHV, afirma que infectou a casa de leilões Christie’s, Frontier Communications, Rite Aid e outras.
Não se sabe se o Fondo Genesis planeja pagar o resgate para impedir a publicação dos dados.
DoJ finaliza regra que proíbe exportação de dados para ‘países preocupantes’
China (incluindo Hong Kong e Macau), Rússia, Irão, Coreia do Norte, Cuba e Venezuela foram todos proibidos de importar ou processar certos tipos de dados sensíveis que descrevem americanos ao abrigo de uma nova regra do Departamento de Justiça finalizada no final de dezembro de 2024.
A regra do DoJ finaliza uma ordem executiva emitida pela administração Biden em fevereiro do ano passado que proíbe os cidadãos dos EUA de venderem dados ou processarem dados dentro de qualquer um dos seis países mencionados na ordem, desde que um conjunto de dados atenda a determinados limites.
Esses limites incluem dados pessoais de saúde ou financeiros de até 10.000 indivíduos, dados precisos de geolocalização para até 1.000 dispositivos e dados genômicos humanos de até 100 indivíduos.
Exceções estão incluídas, naturalmente, e o DoJ também permite que indivíduos e empresas solicitem margem de manobra adicional.
Então relaxe: seus dados pessoais estão seguramente seguros agora – não há como alguém encontrar uma maneira de contornar essas restrições, certo?
Clickjacking recebe uma atualização 2X
O pesquisador de segurança Paulos Yibelo, que anteriormente chamou a atenção para uma nova forma de clickjacking apelidada de “geste jacking”, afirmou que todas as formas conhecidas de proteção contra clickjacking podem ser derrotadas com um clique duplo.
Apelidado de DoubleClickjacking, Yibelo diz que esse ataque pode levar a invasões de contas em plataformas que usam fluxos de login baseados em OAuth ou telas de permissão de API. Ao contrário do clickjacking clássico, que depende do uso de botões ocultos para induzir os usuários a clicar em coisas que não desejam, esta nova versão explora ordens de tempo e eventos para induzir os usuários a clicarem duas vezes. Após o primeiro clique, o conteúdo da janela pai muda para uma página de autorização confidencial, enquanto o segundo clique aprova a ação sem saber e concede permissão para a execução de código malicioso colocado por um invasor, deixando-o livre para assumir o controle de contas.
“Em termos mais simples… é um truque de prestidigitação”, escreveu Yibelo.
Yibelo forneceu alguns códigos JavaScript que ele acha que podem mitigar o ataque. ®
.
