Esta semana foi um período muito ocupada para as notícias de segurança. No entanto, o anúncio da última quarta-feira de que cibercriminosos violaram um dos servidores do eBay que continha as senhas de usuário do varejo online e dos leilões eBay foi a maior história da semana. Além disso, houve também, -tão grave quanto o ataque ao eBay -, o surgimento de mais um Zero-Day na Microsoft muito utilizado pelo Navegador Internet Explorer. Uma boa notícia é que a Samsung está indo além das impressões digitais, com a identificação de novas formas de autenticação biométrica E, como sempre, comentaremos algumas correções.
eBay comprometido
O eBay anunciou na última quarta-feira por meio do seu site institucional (eBay Inc.) que cibercriminosos comprometeram uma das bases de dados que continha nomes de clientes, senhas criptografadas, endereços de email, endereços físicos, números de telefone e data de nascimento. Como as senhas criptografadas foram armazenados no servidor violado, o eBay foi forçado a solicitar aos usuários que eles alterem suas senhas nos próximos dias e semanas. Quando e se você for para mudar sua senha do eBay, certifique-se de navegar diretamente para o site do eBay em vez de seguir e-mail ou links das redes sociais.
A razão para você não seguir os links enviados por e-mail ou redes sociais é que as informações confidenciais armazenadas no servidor podem servir para que outros cibercriminosos executem ataques de phishing. Eles costumam usar esse tipo de informação para criar e-mails de phishing e assim atrair novas vítimas. Esses e-mails geralmente apresentam aos usuários links que aparentam ser legítimos, mas que na verdade levam a sites maliciosos. O objetivo desses sites é enganar os usuários a entregar credenciais de login.
Como sempre, se você tiver usado a senha do eBay em outras redes e serviços, você precisará mudar as senhas de todas as suas contas online.
Curiosamente, este incidente fez com que varejistas decidissem a criar parcerias para se protegerem das ameaças de compartilhamento de dados, além da violação dos dados de destino. Em outras palavras, eles vão começar a conversar entre si sobre os tipos de ataques que enfrentam a fim de que – em conjunto – os varejistas possam estar melhor protegidos. No final da semana, um estudo foi publicado sugerindo que as empresas estão ficando cada vez melhores na contenção das violações de dados. Vai ser interessante ver se o alcance da violação do eBay, que foi ativado por algumas credenciais de funcionários comprometidos, acaba por validar ou contradizer esse ponto.
IE Zero-Day
A boa notícia nesta situação é que a falha afeta apenas a versão antiga do navegador Internet Explorer 8. A má notícia é que a Microsoft não está certa se haverá uma atualização disponível que solucione esta questão. No entanto, a gigante da informática reconheceu a grave vulnerabilidade e está trabalhando em uma correção.
Para não ficar muito técnico, mas provavelmente ainda será mais técnico do que o necessário, o ataque Zero-Day no Internet Explorer 8 permite que um invasor execute códigos maliciosos em máquinas vulneráveis usando um ataque chamado de “drive-by download” ou implantando anexos maliciosos em mensagens de e-mail. Um drive- by download é, essencialmente, um tipo de ataque onde o cibercriminosos incorpora malware em um site e quando um usuário usa um navegador vulnerável, a máquina que do usuário se infecta com malware.
O que os usuários normais de computador podem fazer além da atualização para a versão mais recente do Internet Explorer 10? Não tem muitas opções, na verdade apenas três coisas: ter cuidado onde você navega; cuidado com anexos de e-mail e se certificar de instalar os próximos patches de segurança da Microsoft (se você recebe as atualizações automaticamente então você não precisa se preocupar com isso). Este conselho deve ser seguido por todos.
O reconhecimento da íris
Para deixar a tristeza que as duas últimas notícias geraram, a Samsung anunciou esta semana que planeja incorporar, no futuro, sensores biométrico, tais como scanners de olho nos seus produtos. A empresa alega que esses recursos também estarão disponíveis nos seus produtos mais econômicos.
A medida vai reforçar ainda mais a segurança nos dispositivos Samsung. Será interessante ver se a verificação da íris é mais ou menos resistentes aos potenciais ataques do que a autenticação por impressão digital.
Quebrando
Enquanto escrevo, começaram a surgirs relatórios informando que a aplicação Android Outlook contém um problema de criptografia que pode expor e-mails do usuário e os anexos. Em breve, discutiremos mais sobre esse assunto.
Patches de costume
Como sempre, nós temos alguns patches que você deve ficar sabendo. Esta semana é o Google, que encontrou 23 vulnerabilidades de segurança no Chrome, incluindo três falhas de alto risco. Então, se você usar o Chrome, não deixe que o navegador instale as atualizações automaticamente, você deve ir em configuração e instalar essas atualizações manualmente o mais rápido possível.
Tradução: Juliana Costa Santos Dias
Dicas