.
em resumo Diríamos que você nunca vai adivinhar qual empresa de telecomunicações admitiu uma falha de segurança na semana passada, mas com certeza vai: T-Mobile US, e pela segunda vez (até agora) este ano.
Para quem está contando, isso também torna o sétimo incidente em cinco anos no provedor de celular – embora este seja pequeno em comparação com os 37 milhões de assinantes cujos dados vazaram em janeiro. Apenas 836 clientes foram apanhados neste.
Em um Carta de formulário compartilhado por segurança da informação, a T-Mobile disse que detectou atividade não autorizada em sua rede em março, com acesso ilícito começando no final de fevereiro. A T-Mobile disse que nenhuma informação financeira ou registros de chamadas foram obtidos, mas PINs de contas e muitas PII valiosas foram extraídas.
“As informações obtidas para cada cliente variaram, mas podem incluir nome completo, informações de contato, número da conta e números de telefone associados, PIN da conta T-Mobile, número do seguro social, identidade do governo, data de nascimento, saldo devedor, códigos internos que T -Mobile usa para atender contas de clientes (por exemplo, plano de tarifas e códigos de recursos) e o número de linhas”, explicou o “Un-carrier” em sua carta.
Para os clientes da T-Mobile que se perguntam se foram afetados, as cartas foram enviadas em 28 de abril; portanto, se você não recebeu uma, provavelmente está bem. A T-Mobile também disse que redefiniu os PINs da conta para os clientes afetados; portanto, se você teve problemas com sua conta, pode ser por isso.
A T-Mobile teve dezenas de milhões de registros de clientes comprometidos ao longo dos anos. Sua primeira violação relatada foi em 2018 quando dois milhões de registros foram acessados junto com senhas hash, e um ano depois mais de um milhão de clientes tiveram seus dados expostos. Marchar e dezembro de 2020 trouxe um par adicional de violações, seguido por um enorme 48 milhões de registros de clientes publicado na dark web em 2021.
O Capita não é apenas hackeado – ele também deixa seus baldes abertos
Ainda se recuperando das consequências de um Black Basta invadea empresa de serviços digitais Capita, com sede em Londres, agora está lutando contra a alegação de um pesquisador de segurança de que deixou um balde AWS S3 sem segurança por sete anos.
O balde sem senha supostamente continha 3.000 arquivos totalizando 655 GB – incluindo arquivos de software, imagens de servidor, planilhas, apresentações em PowerPoint e documentos de texto, um dos quais, segundo o pesquisador, continha detalhes de login para um dos sistemas da Capita. Os nomes de arquivos encontrados no bucket sugerem que ele ainda está em uso.
O pesquisador disse que notificou Capita no final de abril, e o balde foi guardado logo depois. Capita disse que nada no balde era sensível.
Erros de configuração em baldes de armazenamento AWS S3 são um problema incrivelmente comum e afetaram algumas grandes empresas. Twilio, McGraw-Hill e até militares dos EUA empreiteiros de resiliência cibernética revelaram seus segredos graças a baldes furados.
Vulnerabilidades críticas da semana: Log4j ainda existe
Não há muito o que relatar sobre as vulnerabilidades críticas esta semana, mas há algo interessante a observar nas vulnerabilidades exploradas conhecidas que a CISA catalogou esta semana: Outra exploração do Log4j está circulando.
Parece que o Departamento de Segurança Interna foi certo.
Essa exploração ocorre devido a uma correção incompleta aplicada ao Apache Log4j que deixa espaço para os invasores explorarem a vulnerabilidade em determinadas configurações não padrão. Nesse caso, um invasor com controle sobre os dados de entrada do Thread Context Map em ambientes com configurações de log não padrão é capaz de criar dados de entrada mal-intencionados que podem vazar informações e permitir a execução remota de código. Patches estão disponíveis, e esta é uma exploração conhecida, então aplique o mais rápido possível.
Em outras notícias críticas do KEV:
- CVS 8.8 – CVE-2023-1389: O firmware TP-Link Archer AX21 (AX1800) anterior à v. 1.1.4 Build 20230219 contém uma vulnerabilidade de injeção de comando em sua interface de gerenciamento da Web que pode fornecer a um invasor recursos de injeção de comando com permissões de root.
Duas vulnerabilidades do sistema de controle industrial também foram relatadas:
- CVS 9.8 – vários CVEs: Todas as versões do software Dataprobe iBoot-PDU anteriores a 1.42.06162022 contêm uma cadeia de vulnerabilidade que permite RCE não autenticado em dispositivos afetados.
- CVS 8.8 – vários CVEs: Um monte de dispositivos Mitsubishi EFA na linha de dispositivos MELIPC, MELSEC iQ-R e MELSEC Q contém uma dependência de terceiros que os deixa vulneráveis à escalação de privilégios, DoS e divulgação de parâmetros.
Sistema de alerta de texto da universidade hackeado para entregar pedido de resgate
Os alunos da Bluefield University da Virgínia já têm muito com que se preocupar nesta época do ano, com provas finais e tudo, mas adicione um ataque de ransomware e mensagens de texto de hackers explodindo seus telefones à mistura e você terá uma receita para uma semana de provas finais.
Bluefield relatou o ataque no domingo, dizendo aos alunos e professores que o incidente pode levar dias para ser resolvido, mas assegurando a todos que “até o momento, não temos evidências indicando que qualquer informação envolvida tenha sido usada para fraude financeira ou roubo de identidade”.
Infelizmente para a universidade, parece que o invasor por trás do hack discordou dessa afirmação e obteve acesso ao sistema RamAlert da faculdade – normalmente usado para coisas como alertas meteorológicos ou exercícios de tiro.
“Temos dados de admissão de milhares de estudantes”, os atacantes declarado, alegando que tinham 1,2 TB de dados e que estão prontos para usá-los. Não está claro como a Bluefield vai responder – até agora eles apenas alertaram os professores para não usarem o e-mail da universidade e atrasaram as provas finais um dia. ®
.
