Começamos o resumo da semana que termina ansiosos para a próxima semana, quando a Microsoft vai – finalmente – interromper o seu apoio ao sistema operacional uma vez que, em todas as partes, segue sendo vulnerável e ainda amplamente implantado pelo Windows XP. Vamos falar mais sobre isso na próxima semana.
Além disso, houve mais notícias referentes à moeda Bitcoin, preocupações de segurança sobre o Tesla S, ideias sobre o jogo de phishing a nível mundial; correções para o navegador Safari, da Apple; bugs em um Phillips Smart TV e muito mais.
De acordo com um relatório da Reuters, um juiz federal do estado americano do Texas ordenou que o diretor-executivo Mark Gox Karpeles viajasse para os EUA para responder a perguntas sobre a declaração de falência da Bolsa Bitcoin. Monte Gox – o maior trocador no mundo digital de cripto-moeda Bitcoin – encerrou em fevereiro depois de perder supostos 400 milhões de dólares e, posteriormente, entrou com um pedido de falência. Karpeles informou que recorreu ao Capítulo 15 de proteção contra falência no mesmo tribunal do Texas para a qual ele foi convocado a fim de evitar uma ação coletiva movida em Chicago. O juiz do Texas acredita que se Karpeles gostaria de buscar a proteção de sua corte, então ele deve ir e ficar diante dele.
De acordo com o meu colega Chris Brook do Threatpost, certas versões populares do SmartTVs com acesso a internet da Philips contêm uma vulnerabilidade que poderia dar a um cibercriminoso a capacidade de acessar informações potencialmente confidenciais dentro do sistema da TV e arquivos de configuração, bem como todos os arquivos que possam estar em um dispositivo USB conectado à própria TV. Se o usuário começa a navegar na Internet na mesma TV, um cibercriminoso pode roubar os cookies que utilizam para acessar determinados sites ou contas online. O problema tem a ver com um recurso chamado WiFi Miracast, que é ativado por padrão com uma senha pré-definida e fixa. Esta senha permite que qualquer pessoa dentro do alcance do adaptador de Wi-Fi do dispositivo se conectar à TV e acessar as suas muitas funções.
Um dos meus outros colegas do Threatpost, Dennis Fisher, informou que o popular, high-end, totalmente elétrico automóvel Tesla S implantou um sistema de autenticação fraco, de fator único para um aplicativo móvel que permite aos usuários desbloquear o seu veículo e muito mais. O pesquisador Nitesh Dhanjani descobriu que, quando os novos proprietários se inscreverem para uma conta no site da Tesla, eles devem criar uma senha de seis caracteres. Essa senha é usada para acessar o aplicativo pelo iPhone. O aplicativo dá aos proprietários a capacidade de manipular as fechaduras das portas, o sistema de suspensão e de frenagem e o teto solar. O verdadeiro problema aqui é que não há limite de tentativas de login, o que significa que um cibercriminosos pode executar ataques de força bruta contra uma senha relativamente curta. Seis caracteres é fácil de descobrir em um sistema sem limites de tentativa de login.
De passagem, eu gostaria de lembrar a todos os usuários da Apple que a gigante da informática Cupertino, Califórnia emitiu mais de 25 correções de vulnerabilidades de segurança para seu navegador Safari. Alguns desses erros são bastante graves, então você deve atualizar seu navegador, se você ainda não tiver feito isso.
Nossos amigos pesquisadores da SecureList lançaram a primeira parte do seu olhar para o mundo escuro das ciberameaças financeiras em 2013. A primeira parte é uma extensa análise do ambiente phishing global. Em resumo, eles descobriram que 31% de todos os ataques de phishing em 2013 foram direcionados a instituições financeiras. Cerca de 22% de todos os ataques envolviam sites bancários falsos, o dobro dos resultados do ano anterior (2012) que foi de 11%. Cerca de 60% dos ataques de phishing bancário exploravam marcas de apenas 25 bancos internacionais, os 40% restantes explorarams marcas de mais de 1000 bancos.
Para concluir, eu aponto em direção a BBC, que está informando que um menino de cinco anos de idade, de San Diego, Califórnia descobriu uma falha na plataforma de jogos online populares XBOX Live que permitiu a ele se registrar na conta do seu pai sem a senha correta. O menino, Kristoffer Von Hassel, tentou fazer login com o e-mail do pai no XBOX Liv, quando ele digitou a senha errada, ele foi solicitado a digitá-la novamente. Ele clicou na barra de espaço e, como mágica, ele conseguiu acessar.
“Eu fiquei nervoso. Pensei que [o meu pai] fosse descobrir”, disse Kristoffer para uma estação de televisão local, KGTV. “Eu pensei que alguém ia roubar o Xbox”. A BBC disse que o pai de Kristoffer, que trabalha na segurança, relatou os detalhes do bug para a Microsoft, que, por sua vez, corrigiu o erro e agradeceu ao menino pela sua ajuda.
Dicas