{"id":563,"date":"2013-05-02T16:37:10","date_gmt":"2013-05-02T16:37:10","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=563"},"modified":"2020-02-26T13:11:43","modified_gmt":"2020-02-26T16:11:43","slug":"parceiro-de-lets-bonus-foi-hackeado","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/parceiro-de-lets-bonus-foi-hackeado\/563\/","title":{"rendered":"Parceiro de Lets Bonus foi Hackeado"},"content":{"rendered":"<div>LivingSocial, site de compras coletivas parceiro de Lets Bonus, comunicou a seus milhares de consumidores que durante o final de semana hackers invadiram o sistema da empresa, descobrindo nomes, endere\u00e7os de email, datas de nascimento e senhas de um n\u00famero incalcul\u00e1vel de membros.<\/div>\n<div>\n<p>\u00a0<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152213\/lsocial_title1.jpg\"><img decoding=\"async\" class=\"alignnone size-full wp-image-567\" alt=\"lsocial_title\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152213\/lsocial_title1.jpg\" width=\"640\" height=\"420\"><\/a><\/p>\n<p>A boa not\u00edcia \u00e9 que, segundo LivingSocial, as senhas estavam hasheadas e salteadas. \u00a0<a href=\"https:\/\/www.kaspersky.com\/blog\/securing-your-passwords-with-pure-3-0\/\" target=\"_blank\" rel=\"noopener nofollow\">passwords<\/a>\u00a0Armazenadas em um formato de c\u00f3digo que torna muito dif\u00edcil, ainda que n\u00e3o imposs\u00edvel, que os hackers as decodifiquem. A companhia alega ainda que os agressores n\u00e3o puderam atingir a base de dados onde est\u00e3o armazenadas as informa\u00e7\u00f5es de pagamento e cart\u00e3o de cr\u00e9dito de seus clientes.<\/p>\n<p>Uma vez mais, senhas hasheadas* s\u00e3o mais dif\u00edceis, mas n\u00e3o imposs\u00edveis de ser descobertas. Se voc\u00ea tem uma conta de LivingSocial, deveria clicar imediatamente neste <a href=\"https:\/\/www.livingsocial.com\/createpassword\" target=\"_blank\" rel=\"noopener nofollow\">link<\/a>\u00a0e troc\u00e1-la. Mais importante, se voc\u00ea usou a mesma senha em outros sites, precisa modific\u00e1-las.<\/p>\n<p>Mais um pouco e os agressores ter\u00e3o que utilizar informa\u00e7\u00e3o de pagamento, encontrar texto e senhas claras (decodificados) ou algo ainda mais humilhante para que algu\u00e9m se importe. Clientes, as organiza\u00e7\u00f5es deveriam cuidar melhor da informa\u00e7\u00e3o de seus consumidores e at\u00e9 mesmo de sua seguran\u00e7a institucional, mas est\u00e3o cada vez menos interessadas nestes ataques.\u00a0No come\u00e7o ningu\u00e9m falava de viola\u00e7\u00e3o de informa\u00e7\u00e3o, com o tempo ficou mais dif\u00edcil varrer estes ataques para debaixo do tapete, e as companhias tiveram que come\u00e7ar a falar a respeito. Agora nos damos conta de que os bancos de informa\u00e7\u00e3o enfrentam ataques quase di\u00e1rios.<\/p>\n<div>\n<div class=\"pullquote\">Se voc\u00ea tem uma conta em LivingSocial, mude imediatamente sua senha. Se usa a mesma senha em outros sites, deve modific\u00e1-la neles tamb\u00e9m.<\/div>\n<\/div>\n<p>A verdade \u00e9 que lemos a respeito de spear pishing, water-holing e outros sistemas de ataques a redes sociais tanto quanto lemos a respeito de roubo de informa\u00e7\u00e3o. Geralmente em ataques sociais\u00a0o agressor visa conseguir algo a respeito do comportamente de seus alvos. Onde voc\u00ea acha que as engenharias sociais encontram os endere\u00e7os de email para ataques de pishing?\u00a0Como identificam os interesses de suas v\u00edtimas para lan\u00e7ar ataques watering-hole bem suscedidos? Estes agressores s\u00e3o t\u00e3o bons em adivinhar senhas e respostas para resete\u00e1-las?<\/p>\n<p>Grande parte desta informa\u00e7\u00e3o \u00e9 obtida durante viola\u00e7\u00e3o, roubo de dados. Para ser honestos, parte dela \u00e9 obtida dos usu\u00e1rios que publicam informa\u00e7\u00e3o pessoal abertamente nas redes sociais,\u00a0mas isso \u00e9 assunto para outro dia. As pessoas frequentemente entregam seus emails corporativos a v\u00e1rios servi\u00e7os online, quando as bases de dado destes sistemas s\u00e3o comprometidas, os agressores obt\u00e9m os endere\u00e7os de email que usar\u00e3o para ataques de pish a organiza\u00e7\u00f5es importantes. Datas de anivers\u00e1rio tamb\u00e9m s\u00e3o valiosas, a maioria dos usu\u00e1rios faz uso das mesmas para resetear senhas.<\/p>\n<p>Se estiver interessado, e provavelmente esteja j\u00e1 que acompanha um blog a respeito de segurna\u00e7a, LivingSocial surpreendeu com uma explica\u00e7\u00e3o excelente sobre o que \u00e9 comumente chamado de \u201csenhas hasheadas e salteadas\u201d no FAQ da notifica\u00e7\u00e3o de viola\u00e7\u00e3o de informa\u00e7\u00e3o:<\/p>\n<p><i>*\u201d As senhas em LivingSocial foram hasheadas com SHA1 usando um salt de 40 byte aleat\u00f3rio. O que significa que nosso sistema tomou as senhas criadas pelos consumidores e usou um algor\u00edtimo para transform\u00e1-las em uma \u00fanica data string (cirando essencialmente um fingerprint de informa\u00e7\u00e3o \u00fanico) isto \u00e9 \u2018hash.\u2019 Para adicionar outra camada de prote\u00e7\u00e3o, o \u2018salt\u2019 alonga a senha e agrega complexidade. Mudamos o algor\u00edtimo de hashing de \u00a0SHA1 para bcrypt.\u201d<\/i><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>LivingSocial, site de compras coletivas parceiro de Lets Bonus, comunicou a seus milhares de consumidores que durante o final de semana hackers invadiram o sistema da empresa, descobrindo nomes, endere\u00e7os<\/p>\n","protected":false},"author":51,"featured_media":566,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-563","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/parceiro-de-lets-bonus-foi-hackeado\/563\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/51"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=563"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/563\/revisions"}],"predecessor-version":[{"id":14131,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/563\/revisions\/14131"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/566"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}