O verão chegou! Para muitas pessoas, isso significou temperaturas quentes, natação e um verão muito melhor do que no ano passado. Para nós da SSL.com, isso significa que é hora de olhar para trás em junho e ver o que aconteceu em segurança digital. Leia o que descobrimos e deixe o conhecimento guiá-lo para experiências on-line seguras no futuro.
RockYou2021: bilhões de senhas vazadas online
Bem, aconteceu. A maior coleção de senhas do mundo vazou e todos os 8.4 bilhão deles foram postados em um fórum usado por hackers. Como Anthony Spadafora relatórios para techradar pro, as senhas foram "provavelmente combinadas com vazamentos e violações de dados anteriores". No típico estilo de postagem em fórum, o hacker alegou que o vazamento era dez vezes maior - 82 bilhões - mas 8,459,060,239 senhas únicas já são ruins. O artigo explica uma conexão inesperada de mídia social com a era do MySpace que deu o título ao vazamento:
O usuário do fórum que postou a coleção de senhas apelidou a compilação de 'RockYou2021 ′, que é provavelmente uma referência à violação de dados RockYou ocorrida em 2009. Na época, os cibercriminosos invadiram os servidores da empresa que fabricava widgets para os usuários 'Páginas do MySpace e foram capazes de obter mais de 32 milhões de senhas armazenadas em texto simples.
O vazamento é mais do que o dobro da maior violação de dados anterior: “A compilação de muitas violações. ” Como o artigo observa, isso é parcialmente atribuível ao fato de que RockYou2021 inclui todas as senhas da Compilação de Muitas Violações. Além disso, vale lembrar que o número de senhas supera o número de pessoas online, que é de apenas 4.7 bilhões.
Meat Producer paga US $ 11 milhões para atacantes de ransomware
Ataques Ransomware têm ganhado manchetes ultimamente e é fácil perceber por quê. Em outro incidente que interrompeu os negócios internacionais, a JBS Foods - maior fornecedora de carne do mundo - revelou que pagou US $ 11 milhões para consertar um incidente que ameaçava suas operações internacionais. Uma declaração da empresa, relatado pela Simon Sharwood de O registro, explica que eles tomaram a decisão de pagar "(i) uma consulta com profissionais de TI internos e especialistas em segurança cibernética de terceiros ... para mitigar quaisquer problemas imprevistos relacionados ao ataque e garantir que nenhum dado foi vazado." O artigo continua:
“Uma investigação do incidente está em andamento. A JBS escreveu que não pode oferecer “determinações finais” sobre o incidente e descreveu a opinião do FBI de que os perpetradores são “um dos grupos cibercriminosos mais especializados e sofisticados do mundo”.
Na verdade, o FBI divulgou uma declaração que atribui o ataque a um grupo que está vinculado ao ataque do Oleoduto Colonial.
Exposto o Repositório de Código Interno do Estado de Nova York
Oh menino. Tech CrunchZach Whittaker de Que os relatórios um banco de códigos interno usado pelo escritório de TI do estado de Nova York foi aberto para o mundo todo ver. Isso é uma má notícia, pois o repositório continha “chaves secretas e senhas associadas aos sistemas do governo estadual”. A SpiderSilk, uma empresa de segurança cibernética de Dubai, descobriu o servidor GitLab, que era "acessível da internet e configurado para que qualquer pessoa de fora da organização pudesse criar uma conta de usuário e fazer login desimpedido", de acordo com Mossab Hussein, chefe de segurança da SpiderSilk TechCrunch.
Após afirmar que o servidor estava aberto e aceitando novas contas de usuário, TechCrunch contatou o gabinete do governador, e o servidor ficou off-line depois de aparentemente estar funcionando desde pelo menos março. Por fim, um porta-voz atribuiu a violação de segurança a um fornecedor e negou que houvesse dados em risco.
ALPACA: Novo estudo de ataques de protocolo cruzado em HTTPS
Este é um pouco complicado, mas é importante, por favor, tenha paciência conosco. Essencialmente, um novo estudo analisa a possível destruição que um invasor man-in-the-middle pode criar ao confundir um navegador que está tentando se conectar a um site HTTPS e “enganá-lo” para se conectar a um servidor que executa um protocolo diferente, como FTP ou e-mail servidor. Os pesquisadores apelidaram esse tipo de ataque de confusão de conteúdo da camada de aplicativo de "ALPACA". Como Ars Technica relatórios em uma peça de Dan Goodin,
Como o navegador está se comunicando em HTTPS e o servidor de e-mail ou FTP está usando SMTP, FTPS ou outro protocolo, existe a possibilidade de que as coisas possam dar terrivelmente errado - um cookie de autenticação descriptografado pode ser enviado ao invasor, por exemplo, ou a um invasor poderia executar código malicioso na máquina visitante ... Em um trabalho de pesquisa publicado na quarta-feira, Brinkmann e sete outros pesquisadores investigaram a viabilidade de usar o que eles chamam de ataques de protocolo cruzado para contornar TLS proteções. A técnica envolve um atacante MitM redirecionando solicitações HTTP de origem cruzada para servidores que se comunicam por SMTP, IMAP, POP3 ou FTP ou outro protocolo de comunicação.
O adversário MitM não pode decifrar o TLS tráfego, mas ainda há outras coisas que o adversário pode fazer. Forçar o navegador do destino a se conectar a um servidor de e-mail ou FTP em vez do servidor da web pretendido, por exemplo, pode fazer com que o navegador grave um cookie de autenticação no servidor FTP. Ou pode permitir ataques de script entre sites que fazem com que o navegador baixe e execute JavaScript malicioso hospedado no FTP ou servidor de e-mail.
O artigo observa que, em geral, esse tipo de ataque “é muito situacional e tem como alvo usuários individuais”, tornando o risco para o público em geral não tão alto no momento. No entanto, como mais serviços são protegidos com TLS, pode se tornar um padrão mais difundido, portanto, a hora de mitigar a ameaça é agora. Os autores do estudo ALPACA Attack recomendam o uso do Negociação de protocolo de camada de aplicativo (ALPN) e Indicação de nome de servidor (SNI) TLS extensões para mitigar a ameaça.
