.
segurança em resumo Foi uma semana de revelações ruins sobre segurança cibernética para a OpenAI, depois que surgiram notícias de que a startup não relatou uma violação de seus sistemas em 2023 a ninguém de fora da organização e que seu aplicativo ChatGPT para macOS foi codificado sem qualquer consideração à privacidade do usuário.
De acordo com uma reportagem exclusiva do New York Times, citando dois informantes anônimos da OpenAI, alguém conseguiu invadir um fórum privado usado por funcionários da OpenAI para discutir projetos no início do ano passado.
A OpenAI aparentemente escolheu não tornar a notícia pública ou contar a ninguém na polícia sobre a invasão digital, porque nenhuma das construções de IA reais da empresa apoiada pela Microsoft foi comprometida. Os executivos que revelaram a violação aos funcionários não acharam que fosse uma grande ameaça, porque acreditava-se que o criminoso por trás da violação era um indivíduo privado não afiliado a nenhum governo estrangeiro.
Mas manter uma violação em segredo não é uma boa ideia, principalmente considerando que vários funcionários de alto escalão — incluindo o cientista-chefe Ilya Sutskever — deixaram a OpenAI recentemente devido ao que muitos acreditam ser preocupações sobre a falta de cultura de segurança.
O criador do ChatGPT se comprometeu a criar um comitê de segurança de IA após as saídas de Sutskever e Jan Leike – o chefe da equipe de segurança anterior da OpenAI dedicada a enfrentar as ameaças de longo prazo da IA.
Se as notícias de uma violação secreta, até então não relatada, que a liderança da OpenAI supostamente pensava que sabia mais do que os reguladores federais ajudarão a reparar sua reputação de segurança manchada, ninguém sabe. As outras notícias de segurança da OpenAI desta semana provavelmente não ajudarão, no entanto.
De acordo com o desenvolvedor de software Pedro José Pereira Vieito, a versão macOS do ChatGPT foi programada para contornar o sandbox interno do Mac, que impede que aplicativos exponham dados privados, e, em vez disso, armazenou todas as conversas dos usuários em texto simples em um diretório não seguro.
A OpenAI supostamente corrigiu o problema, mas não respondeu às nossas perguntas.
Vulnerabilidades críticas da semana
Com feriados federais e eleições importantes ocorrendo em grande parte do Reg-reading world semana passada, encontramos uma queda nada surpreendente em grandes notícias de segurança. Dito isso, há alguns problemas que você deve saber – como alguns problemas não relatados anteriormente em impressoras Xerox WorkCentre.
Em um caso, há CVE-2016-11061, descoberto em 2016, mas não relatado até 2020 – um problema do CVSS 9.8 permitindo escape de shell através do arquivo configrui.php da impressora. O segundo caso, diz o pesquisador de segurança Arseniy Sharoglazov da Positive Technologies, é mais uma vulnerabilidade de estouro de buffer que permite RCE que ele encontrou em uma atualização de firmware no ano passado. Nenhum CVE foi atribuído. Sharoglazov recomenda atualizar o firmware, definir uma senha de administrador forte e isolar impressoras em redes afetadas.
Em outro lugar:
- CVSS 9.3 – CVE-2024-4708: O software mySCADA MyPRO contém credenciais codificadas;
- CVSS 9.1 – CVE-2024-32755: As câmeras IP Johnson Controls Illustra Essentials Gen 4 não estão validando corretamente a entrada da interface da web.
Órgão regulador da F1 violado
A Federação Internacional de Automobilismo (FIA) – que regulamenta eventos de automobilismo, incluindo o Grande Prêmio Britânico de Fórmula 1 do último fim de semana – confirmou na semana passada que sofreu uma violação de dados, embora sem compartilhar muitos detalhes.
A FIA compartilhou notícias do incidente na quarta-feira passada, revelando que a violação ocorreu após ataques de phishing bem-sucedidos contra um par de contas de e-mail pertencentes à Federação. A FIA disse que cortou o acesso “assim que tomou conhecimento” e notificou as autoridades de proteção de dados francesas e suíças também.
Nenhuma informação foi compartilhada sobre quando a violação ocorreu ou quais informações podem ter sido expostas.
Novo grupo de ransomware descoberto – e é completo
Pesquisadores de segurança da Halycon.ai relataram a descoberta do que eles acreditam ser um novo operador de ransomware que eles apelidaram de Volcano Demon.
A equipe demoníaca foi flagrada criptografando estações de trabalho e servidores Windows em vários ataques nas últimas semanas, relatou a Halcyon, usando credenciais de administrador coletadas de outros lugares em redes comprometidas. Não há nenhum indicador no relatório da Halcyon de como o Volcano Demon está penetrando em seus alvos, mas sabe-se que ele está usando o LukaLocker e sendo minucioso em seus esforços.
“Os logs foram limpos antes da exploração e, em ambos os casos, uma avaliação forense completa não foi possível devido ao sucesso em cobrir seus rastros e ao registro limitado de vítimas”, observou Halcyon sobre dois incidentes específicos que investigou. Os criminosos aparentemente estão fazendo ligações diretamente para a TI e executivos para exigir resgate em vez de fazer um anúncio em um site de vazamento.
Indicadores de comprometimento estão disponíveis, o que significa que os leitores podem ficar por dentro disso.
A explosão do RockYou continua viva em uma nova edição maior do que nunca
Você pode ter esquecido a violação de 2009 do extinto aplicativo de mídia social RockYou, mas isso não significa que o mundo da segurança cibernética tenha esquecido.
As práticas de segurança precárias do RockYou levaram ao roubo de cerca de 32 milhões de senhas de usuários do site há 15 anos. O RockYou agora vive como nada além do enorme dicionário de senhas que ele deu aos hackers – e ele foi atualizado recentemente, observaram os pesquisadores do Cybernews esta semana.
A nova lista, encontrada ontem em um fórum sobre crimes cibernéticos e apelidada de “RockYou2024”, supostamente contém quase dez bilhões de senhas exclusivas em texto simples.
Como outras iterações do RockYou ao longo dos anos, esta parece ser apenas mais uma combinação de senhas roubadas em violações anteriores. Mas não deixe que isso o deixe tranquilo: ainda é uma ameaça séria nas mãos da pessoa errada, comprometida com o credential stuffing.
O FakeBat está chegando para seus aplicativos de local de trabalho favoritos
Há um novo cão de guarda no mundo dos carregadores de malware. O FakeBat está no topo e está mirando usuários de aplicativos como Microsoft Teams, Zoom, VMware e outros.
Pesquisadores de segurança da Sekoia relataram esta semana que o FakeBat chegou ao topo do uso de carregador de download drive-by graças a novas campanhas de envenenamento de SEO, malvertising e injeção de código.
O FakeBat, disponível como um serviço a partir de US$ 1.000 por semana desde o final de 2022, cresceu em popularidade desde que apareceu em cena, de acordo com Sekoia. Embora o malware possa ser mais novo, as táticas parecem depender da mesma velha falta de atenção adequada em que outros carregadores de malware se apoiam – então é hora de outra rodada de treinamento do usuário enquanto você garante que todos os IOCs sejam adicionados aos seus sistemas de detecção.
O número de vítimas de violações prudenciais aumenta – e muito
A seguradora americana Prudential atualizou o número total de vítimas cujos dados foram roubados em uma violação de dados em fevereiro – de 36.000 para mais de 2,5 milhões. O grupo de ransomware ALPHV/BlackCat anteriormente assumiu a responsabilidade pelo incidente.
A atualização da contagem de vítimas não incluiu detalhes adicionais sobre como a violação ocorreu, e uma nova carta de violação não foi anexada ao aviso. A carta divulgada quando as vítimas eram numeradas em dezenas de milhares indicou que a carteira de motorista e outras informações de identificação pessoal foram roubadas. ®
.
