Mostrando postagens com marcador segurança online. Mostrar todas as postagens
Mostrando postagens com marcador segurança online. Mostrar todas as postagens

segunda-feira, 20 de maio de 2024

Dicas para projetar sistemas seguros

Achei bacana compartilhar e deixar registrado por aqui.

Clique na imagem para ampliar

Postado originalmente em The Cyber Security Hub (via LinkedIn)

domingo, 24 de janeiro de 2021

Será que estou entre os 220 milhões de brasileiros com dados expostos?

Estava lendo sobre o vazamento de dados que expôs 220 milhões de brasileiros, envolvendo elementos como, CPF, vínculo familiar, ocupação, endereço, telefone, score de crédito, renda, classe social, poder aquisitivo e várias outras coisas.

Dados pessoais de 220 milhões de brasileiros foram expostos

Provavelmente, algumas dessas informações, nem mesmo os proprietários saibam ou tenham fácil acesso. Por exemplo, eu não sei em qual classe social estou inserido e nem mesmo qual o nível do meu poder aquisitivo — será que é baixo, médio ou alto? Por isso, os especialistas recomendam que a população fique ligada e monitore toda e qualquer movimentação possível, no intuito de identificar algum comportamento inesperado.

Segundo dados do IBGE, a população brasileira em 2018 estava em 209,5 milhões de habitantes. Isso significa que, se realmente houve o vazamento para a quantidade de pessoas mencionada, constam na base divulgada, até mesmo indivíduos já falecidos.

Obviamente fiquei preocupado, pois recentemente meu Caixa Tem foi fraudado, e há 2 anos, tive um cartão de crédito clonado. É uma uma mistura de sensações como exposição, impotência e frustração, sentidas quando algo assim acontece.

Have I Been Pwn?

Com isso, lembrei do "Have I Been Pwn?" (HIBP). Trata-se de um site, criado em 2013 por Truy Hunt, que busca indexar dumps de dados, que contenham informações privadas dos usuários de um determinado serviço, e que foram vazadas, muitas vezes através da exploração de brechas de segurança na estrutura das aplicações. Acessando o HIPB, basta digitar o endereço de E-mail que você geralmente usa na criação das suas contas, para que resulte em algum dado seu que já foi vazado por um sistema na internet.

Os caracteres ';-- que compõem o logotipo do site referem-se a uma string de SQL Injection, enquanto que pwned é um termo cuja tradução significa o comprometimento quanto ao controle de um sistema ou serviço.

Sei que para uma situação como a relatada no início dessa postagem, talvez o HIPB não ofereceria um proveito imediato. Até porque, já se sabe o que vazou, apesar de ainda não estar claro quem foi prejudicado. Caso o site tenha acesso ao dump, aí a coisa muda e quem sabe ajude. Então, vale para conhecimento. Em todo o caso, falta agora confirmar a origem das informações vazadas para que as ações necessárias sejam tomadas, mas mesmo assim, seja lá quem ou o que falhou, a cagada já está feita, ficando a cargo das pessoas se cuidarem e torcerem para não serem pegas de surpresa.

terça-feira, 23 de junho de 2015

Sua próxima senha de banco pode ser um emoji

É comum a gente utilizar emojis durante uma conversa no Whatsapp ou Facebook. Sim, emojis, aqueles desenhos engraçadinhos que parecem um emoticon melhorado. Quem nunca usou? É uma maneira bastante rápida pra demonstrar um "sentimento" mesmo conversando por mensagem de texto.


A Intelligent Environments, empresa britânica com foco em aplicativos para internet banking, resolveu reunir o que podemos chamar de útil ao agradável, e criou o Emoji Passcode, um software que permite aos clientes a utilização de emojis nas suas senhas bancárias. No total são 44 emojis disponíveis na aplicação e conforme a companhia, apenas essa quantidade de emojis já pode gerar até 480 combinações diferentes, uma estimativa relevante comparada com os clássicos quatro dígitos empregados entre os algarismos 0 e 9, promovendo mais segurança na senha, pois assim o trabalho de hackers/crackers fica mais complexo durante uma possível tentativa de "quebrar" a chave, sem contar que com os emojis, não é possível utilizar datas para facilitar a lembrança da senha, prática bastante comum, mas reprovada pelos especialistas em segurança.



Segundo David Webber, diretor da Intelligent Environments, o fato de muitos britânicos não conseguirem lembrar a senha, atrelado aos resultados de uma recente pesquisa realizada pela companhia, a qual mostra que 64% da "geração y" utiliza emojis para conversar na internet, foi bastante relevante para definir o estado inicial e os rumos para o desenvolvimento do aplicativo.

sábado, 20 de dezembro de 2014

Revelação do Obama

clique na imagem para ampliar

Menino: Senhor Obama, meu pai disse que você sabe um monte de coisas sobre a gente. É verdade?
Obama: Ah, meu garoto! As pessoas dizem algumas mentiras sobre mim. De qualquer forma, quem disse que ele é seu pai?

segunda-feira, 15 de setembro de 2014

Sobre o desfecho quanto ao vazamento de senhas do Google

Geralmente quando as pessoas escutam falar sobre vazamento de informações e atrelam isso a uma empresa de renome, tipo a Google, a conversa rola solta. E foi mais ou menos o que aconteceu na última quarta-feira (10/09/14) quando o canal Russia Today noticiou que uma lista contendo quase 5 milhões de logins e senhas de usuários do Google e seus respectivos serviços foi publicada no fórum Bitcoin Security.

A grande maioria desses usuários pertence a versões em inglês e espanhol do Google, porém, em pronunciamento, a Google informou que apenas 2% dos acessos registrados ainda estão válidos, pois a maioria das senhas divulgadas são antigas, considerando que os respectivos usuários já alteraram as mesmas. No entanto, em contrapartida, um usuário do fórum, identificado como "tvskit", supostamente o responsável pelo vazamento da lista, afirmou que ao menos 60% das contas estão válidas e as senhas condizem com as informações de acesso.


O fato que originou o preenchimento dessa lista não foi um incidente por parte do Google, mas sim, os próprios usuários, muitas vezes vítimas de phishing (aquelas técnicas que levam as pessoas a colocar seus dados de acesso em páginas ou serviços falsos com o único objetivo de roubar essas informações). Obviamente a Google recomenda, por medida de segurança, que todos os usuários realizem a redefinição das suas senhas, mesmo que através do site isleaked.com/en.php seja possível consultar as contas afetadas, basicamente inserindo o endereço de E-mail no campo indicado para verificar. Outra medida que a Google recomenda também é habilitar a autenticação em dois passos, um critério que está sendo bastante difundido, o qual consiste em além de usar uma senha, configurar um recurso como um código de segurança recebido no celular para garantir os acessos nas aplicações.

Além do vazamento dessa lista, nas últimas semanas, um arquivo contendo 1,2 milhão de senhas do portal russo Yandex e outro contendo 4,6 milhão de credenciais do serviço de E-mail Mail.ru foram divulgados, caracterizando três incidentes de segurança nos serviços de internet da Russia em pouco tempo.

segunda-feira, 30 de setembro de 2013

Malware dribla segurança de gigantes, como Facebook e Google, e afeta o usuário

Este artigo foi criado pela equipe Bitdefender Antivírus para uso exclusivo do Geek Fail.

Mesmo com intensos e contínuos investimentos em recursos de segurança, o Facebook está constantemente envolvido com o surgimento de novas pragas online. Dessa vez, o caso recente diz respeito a um malware capaz de roubar dados de contas de usuários. O que chama a atenção, no entanto, é a velocidade com que a ameaça tem se espalhado na rede, alcançando um número cada vez maior de contatos. 


Ameaçando gigantes

Além do Facebook, o malware também foi responsável por dores de cabeça na gigante Google. Isso porque a ameaça tem sido disseminada não apenas através da rede social, mas também pelo navegador Google Chrome, roubando dados armazenados em seu browser.

A praga se espalha na forma de uma simples mensagem do Facebook, informando ao usuário sobre uma nova e ingênua marcação em um post. O link fornecido, contendo um vídeo, porém, faz um redirecionamento malicioso, levando o contato a um site fraudulento.

No site falso, o usuário se depara com a solicitação para baixar um plugin – aparentemente indispensável para a visualização do vídeo postado. Com o download, infelizmente, o usuário expõe seus dados armazenados no Chrome ao livre acesso de hackers, incluindo os dados de seu perfil no Facebook. 


Pequenas atitudes para prevenir grandes transtornos

Em meio às ameaças, falar de segurança na internet jamais se torna um assunto ultrapassado. Os investimentos, tanto por parte de empresas de softwares quanto do lado de cibercriminosos, são constantes, exigindo que o usuário se mantenha sempre atento em relação às novidades no setor.

Buscar pelo download de um bom antivírus, por exemplo, segue como a principal recomendação para quem deseja ficar longe de pragas e ameaças virtuais. A medida, no entanto, já não é o suficiente.

Aliando recursos de segurança, investir no chamado “comportamento preventivo” é a melhor opção. Isso significa manter atenção redobrada enquanto navega na internet, conferindo a procedência de links, acessando apenas sites confiáveis, instalando programas originais e, é claro, não clicando em todo e qualquer conteúdo sem antes refletir sobre a sua segurança.