.
Mais de uma dúzia de grandes fornecedores farmacêuticos começaram a notificar indivíduos de que os seus dados foram roubados quando o grossista de medicamentos norte-americano Cencora foi violado em Fevereiro.
A empresa avaliada em 250 mil milhões de dólares – anteriormente conhecida como AmerisourceBergen – tem parceria com alguns dos maiores revendedores farmacêuticos, incluindo GlaxoSmithKline, Novartis, Genentech, Bayer, Regeneron e Bristol Myers Squibb.
No final da semana passada, as empresas acima mencionadas e pelo menos sete outras começaram a reportar perdas de dados ao Procurador-Geral da Califórnia. Todas as gigantes farmacêuticas atribuíram o roubo de dados à violação anterior do Cencora.
“Com base em nossa investigação, informações pessoais foram afetadas, incluindo potencialmente seu nome, sobrenome, endereço, data de nascimento, diagnóstico de saúde e/ou medicamentos e prescrições”, diziam as notificações. [PDF].
“Não há evidências de que qualquer uma dessas informações tenha sido ou será divulgada publicamente, ou que qualquer informação tenha sido ou será usada indevidamente para fins fraudulentos como resultado deste incidente, mas estamos comunicando isso a você para que você possa tomar a decisão. etapas descritas abaixo para se proteger”, continuavam as missivas.
Em um arquivamento do Formulário 8-K da SEC enviado em fevereiro de 2024, Cencora revelou que descobriu a invasão do sistema de TI em 21 de fevereiro e que os dados exfiltrados “podem conter informações pessoais”.
“Até a data deste registro, o incidente não teve um impacto material nas operações da Empresa e seus sistemas de informação continuam operacionais”, continuou. “A Empresa ainda não determinou se o incidente tem probabilidade razoável de impactar materialmente a condição financeira ou os resultados operacionais da Empresa.”
A Cencora ainda não apresentou o Formulário 8-K atualizado e não respondeu imediatamente ao O registroperguntas.
Não está claro quantos dados pessoais e de saúde de indivíduos foram roubados. A California AG não exige que as empresas hackeadas divulguem esse número.
Vulnerabilidades críticas da semana: mais exploração do Chrome
O Google corrigiu na semana passada o oitavo dia zero do Chrome que encontrou sob exploração este ano – a terceira correção desse tipo nas últimas duas semanas – então vamos começar por aí.
CVE-2024-5274 é uma falha de confusão de tipo de alta gravidade no mecanismo JavaScript V8. Clément Lecigne, do Google Threat Analysis Group, e Brendon Tiszka, do Chrome Security, detectaram o bug.
“O Google está ciente de que existe uma exploração para CVE-2024-5274”, de acordo com o comunicado.
Em outro lugar:
- CVSS 9.3 – Vários CVEs: Os CLPs de produtividade AutomationDirect apresentam uma série de falhas que podem levar à execução remota de código e à negação de serviço.
- CVSS 8.5 – CVE-2024-5040: LCDS LAquis SCADA tem problemas de passagem de caminho que podem permitir que criminosos leiam e gravem arquivos.
CVSS 8.1 – Vários CVEs: Os controladores de armazenamento VMware no ESXi, Workstation e Fusion têm uma vulnerabilidade de leitura/gravação fora dos limites que pode ser explorada para ataques de negação de serviço ou execução de código no hipervisor.
70 por cento dos sistemas de água dos EUA são prejudicados pela segurança
Senhas padrão e logins únicos para funcionários são abundantes em instalações que produzem água potável nos EUA, de acordo com a Agência de Proteção Ambiental (EPA), que descobriu que mais de 70% dos sistemas inspecionados desde setembro não atendem aos padrões de segurança.
“Ataques cibernéticos contra [community water systems] estão aumentando em frequência e gravidade em todo o país”, alertou a EPA em um alerta de fiscalização.
“Com base em incidentes reais, sabemos que um ataque cibernético a um sistema de água vulnerável pode permitir que um adversário manipule a tecnologia operacional, o que pode causar consequências adversas significativas tanto para os serviços públicos como para os consumidores de água potável”, acrescentou a agência.
Além disso, como os federais e os caçadores de ameaças do sector privado têm apontado repetidamente: criminosos cibernéticos da Rússia, China e Irão foram todos invadidos nos sistemas de água dos EUA nos últimos 12 meses.
À luz destas graves deficiências de segurança, a EPA, o FBI e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) “recomendam fortemente” que os proprietários e operadores de sistemas de água tomem uma série de ações descritas em Principais Ações para Proteger Sistemas de Água. Também há assistência gratuita disponível por meio do Formulário de Assistência Técnica de Segurança Cibernética da EPA.
O ano muito ruim da Nissan fica pior
A série de SNAFUs de segurança da Nissan continuou depois que a Nissan Oceania relatou que a central de atendimento de incidentes cibernéticos que ela montou para responder a um ataque de ransomware anterior expôs informações pessoais desses mesmos clientes
Em dezembro, a gangue de ransomware Akira invadiu as redes da Nissan Oceania e roubou informações pessoais pertencentes a mais de 100 mil pessoas na Austrália e na Nova Zelândia.
Em 21 de maio, a fabricante de automóveis divulgou que o OracleCMS, o fornecedor terceirizado usado para gerenciar a central de atendimento de incidentes cibernéticos, foi atingido por seu próprio incidente de dados.
“Infelizmente, algumas informações de clientes, funcionários e outras partes interessadas da Nissan, que a OracleCMS mantinha em seus sistemas para poder responder às dúvidas recebidas, foram comprometidas durante o incidente”, admitiu a Nissan Oceania.
Especificamente: os dados roubados podem incluir nomes, detalhes de contacto, datas de nascimento e uma descrição resumida das informações contidas nas cartas de notificação de incidentes cibernéticos da Nissan. “Nenhum documento de identidade, cópia de documento ou número de identificação foi afetado”, somos informados.
“Entendemos que esta notícia será especialmente decepcionante, visto que as pessoas já tiveram suas informações pessoais comprometidas”, continua o aviso.
Esta última confusão ocorreu cerca de uma semana depois de a montadora divulgar o roubo de informações pessoais pertencentes a mais de 50.000 funcionários da Nissan. ®
.
