Facebook e Cambridge Analytica, o pânico Specter e Meltdown, notícias falsas são apenas a ponta do iceberg de 2018. O ano passado foi quente para profissionais de segurança da informação e para muitos usuários que precisavam usar senhas com pressa. No Distrito Binário, compilamos uma seleção de 12 hacks, hacks e vazamentos de dados reveladores que ocorreram em 2018.
Na lista, há histórias sobre a vulnerabilidade que trouxe ao Google+, Alexa falante demais, fones de ouvido traiçoeiros, um administrador brasileiro descuidado, uma sinergia de bugs no Facebook e um DDoS sem precedentes.
Quatro ataques de hackers
Apenas espaço, ou como perder 13 milhões de dólares
O que aconteceu Em agosto de 2018, os hackers
realizaram mais de 15.000 transações ilegais com contas do Indian Cosmos Bank por meio de caixas eletrônicos em sete horas e, no dia seguinte, várias grandes transferências através do sistema SWIFT.
Qual o motivo Na primeira fase da operação, foram utilizados muitos cartões bancários clonados, criados devido a uma vulnerabilidade desconhecida nos sistemas de um dos emissores. Com a ajuda deles, cúmplices de hackers estavam sacando dinheiro dos caixas eletrônicos. Na segunda fase, provavelmente, foi usada uma nova versão do malware DYEPACK, que permite ignorar a autorização de transferências nas redes bancárias e ocultar relatórios sobre sua implementação.
Os detalhes não foram divulgados para os fins da investigação, mas o ataque está associado ao grupo norte-coreano de hackers APT38, especializado em hackers SWIFT.
Quais são as consequências. As perdas do Cosmos Bank totalizaram cerca de 13 milhões de dólares, dois deles estavam na conta de um dos bancos de Hong Kong, o restante - em dinheiro nas mãos de "mulas de dinheiro". A corrida armamentista entre SWIFT e hackers continua e, em 2019, provavelmente receberemos novas mensagens sobre ataques a bancos.
Facebook azar
O que aconteceu O escândalo em torno das eleições nos EUA ainda não havia diminuído, pois em setembro de 2018 ficou claro que os hackers conseguiram obter acesso aos dados de milhões de usuários do Facebook.
Qual o motivo O hacking não seria possível se
não fosse a combinação de bugs no downloader de vídeo, que usa a tecnologia Single Sign-On e o recurso "See How". Com a ajuda deles, os hackers coletaram massivamente tokens que um aplicativo móvel gera, para que, ao carregar páginas da Web com módulos de redes sociais, não seja necessário fazer login novamente.
Quais são as consequências. Os hackers receberam informações sobre 30 milhões de contas. Números de telefone e endereços de email vazaram, os dados especificados no perfil, dados sobre os tipos de dispositivos dos quais o usuário entra na rede social, os últimos 10 locais marcados e 15 consultas de pesquisa.
Os tokens podem ser usados para acessar quaisquer recursos de rede nos quais a autorização via Facebook é aplicada. O FBI não divulgou os detalhes da investigação, mas, a julgar pelas informações disponíveis, os hackers não conseguiram realizar seus planos. Depois que a invasão foi descoberta, a vulnerabilidade foi encerrada e a equipe do Facebook retirou os tokens de autorização dos usuários afetados (e outros 60 milhões como precaução).
Grande fraude
O que aconteceu Foi descoberto um dos maiores e mais complexos esquemas de fraude com publicidade on-line, que incluía uma rede de 10.000 domínios falsos e uma botnet que controlava mais de um milhão de endereços IP. No auge, os bots geravam mais de 3 bilhões de impressões de anúncios diariamente.
Qual o motivo Para criar a botnet, os hackers usaram os cavalos de Troia Miuref e Boaxxe, ataques direcionados ao BGP - o protocolo do gateway de fronteira, além de aplicativos móveis com marcadores incorporados. Eles desenvolveram
vários vetores de ataques a redes de anúncios e os mudaram à medida que foram descobertos por especialistas do Google. Além disso, os bots imitaram com sucesso o comportamento humano, simulando movimentos do mouse e cliques aleatórios.
Quais são as consequências. Os hackers foram encontrados, eles são
formalmente cobrados , mas as perdas financeiras da indústria da publicidade ainda não foram avaliadas.
O Google incentiva a atenção para as possíveis vulnerabilidades das redes de publicidade por abuso e para intensificar a criação e adoção de padrões do setor, como o ads.txt. A empresa removeu dos aplicativos do Google Play participantes desse esquema que usavam mecanismos de injeção e / ou inundação de cliques, incluindo um dos teclados de terceiros mais populares - o Kika Keyboard com 200.000 instalações.
Reddit hackeado
O que aconteceu Em junho de 2018, os hackers comprometeram as contas dos funcionários do site e obtiveram acesso a vários sistemas não identificados, códigos-fonte do Reddit, documentação, parte dos endereços de email do usuário e backups antigos.
Qual o motivo Os administradores usavam um sistema de autenticação de dois fatores via SMS para autorizar. O ataque foi realizado interceptando um código de confirmação. Os hackers podem duplicar o SIM, enganar os funcionários das operadoras de telecomunicações e reemitir cartões ou atacar o protocolo SS7 desatualizado.
Quais são as consequências. O acesso ao código-fonte do site pode acarretar novos ataques.
O Reddit anunciou a revisão das regras internas de segurança da informação e a transição para os tokens 2FA que geram regularmente um novo código de confirmação. Os usuários afetados receberam notificações, mas novamente nos convencemos da
imperfeição da autenticação por SMS .
Três fakapa irritantes
Apache Brazilian
O que aconteceu Números de identificação (análogo do NIF) de 120 milhões de contribuintes brasileiros - cerca de 57% da população do país - e informações pessoais: endereços, números de telefone, dados de empréstimos etc.
estavam disponíveis gratuitamente.
Qual o motivo Servidor HTTP Apache incorretamente configurado, cujo administrador renomeou o index.html padrão para index.html_bkp. O culpado do incidente permanece desconhecido. Ele provavelmente simplesmente não percebeu que ativou a lista de diretórios para todos os arquivos no diretório.
Quais são as consequências. Os números de identificação fiscal do Brasil são necessários para abrir contas bancárias, obter empréstimos e registrar entidades legais. Um pouco de engenharia social - e esses dados se transformam em dinheiro fácil. A base provavelmente estará disponível em breve no darknet.
Certificações Sennheiser
O que aconteceu Os desenvolvedores do Sennheiser HeadSetup e HeadSetup Pro, software para fazer chamadas pela rede, entraram no mesmo rake que a Dell e a Lenovo há vários anos. Eles usaram certificados raiz inseguros.
Qual o motivo Juntamente com o HeadSetup, alguns certificados raiz foram instalados no computador. As chaves privadas foram salvas no arquivo SennComCCKey.pem, de onde são
fáceis de extrair . Assim, os invasores podem usá-los para falsificar certificados, sites legítimos e assim por diante.
Quais são as consequências. A Sennheiser
lançou atualizações para seus programas , mas todos os sistemas nos quais o HeadSetup versões 7.3, 7.4 e 8.0 foram instaladas no passado permanecem vulneráveis a ataques como o homem do meio. Os programas podem ser atualizados ou removidos, mas livrar-se dos próprios certificados, válidos até 2027 e 2037, não é tão simples. Eles permanecem no sistema operacional Trust Store e requerem remoção manual.
Alexa vai lhe contar tudo sobre você
O que aconteceu A Amazon, em resposta a uma solicitação sob o GDPR, enviou 1.700 gravações inteligentes para a pessoa errada. Depois de ouvi-los, foi possível identificar o proprietário e sua família, descobrir o endereço e muitos detalhes, como preferências musicais.
Qual o motivo Um representante da empresa
em uma conversa com os repórteres do Business Insider descreve isso como um caso isolado e refere-se ao fator humano.
Mas situações semelhantes não são incomuns. Portanto, dentro da estrutura da “Lei de Disseminação da Liberdade de Informação” em vigor nos Estados Unidos, projetada para aumentar a transparência do trabalho dos funcionários, qualquer pessoa pode solicitar determinados dados de órgãos governamentais. Em resposta a esse pedido, a Prefeitura de Seattle, juntamente com metadados de 32 milhões de cartas,
enviou 256 primeiros caracteres de cada mensagem ao ativista da Internet Matt Chapman. Entre eles estavam nomes e senhas de usuários, números de cartões de crédito, cartões de previdência social e carteiras de motorista, relatórios policiais, dados de investigação do FBI e outras informações confidenciais. E o governo sueco
revelou acidentalmente os dados pessoais dos participantes no programa de proteção a testemunhas e vários policiais.
Quais são as consequências. Comparado aos casos descritos acima, o incidente na Amazon é relativamente inofensivo. No entanto, isso faz você pensar se vale a pena deixar entrar dispositivos inteligentes em casa, especialmente aqueles que podem ouvir, e quão útil o GDPR pode ser para um hacker que já obteve acesso à sua conta.
Algumas vulnerabilidades que (quase) mataram serviços
Microsoft Achilles Heel
O que aconteceu Um funcionário da SafetyDetective
descobriu uma cadeia de vulnerabilidades críticas nos serviços web da Microsoft , que permitiam acessar success.office.com em sete etapas e enviar e-mails com links de phishing em nome da empresa.
Qual o motivo O ponto de acesso era um aplicativo Web do Azure quebrado. Tendo assumido o controle do domínio success.office.com com sua ajuda, o pesquisador usou erros na verificação do OAuth para ignorar o mecanismo de autorização e obter os tokens de outras pessoas usando phishing. A vítima de tal invasão dificilmente teria adivinhado o truque, já que um link perigoso teria um URL oficial como: login.live.com.
Quais são as consequências. Após descobrir a vulnerabilidade, o SafetyDetective entrou em contato com a Microsoft em junho de 2018. A empresa respondeu e corrigiu a situação em novembro de 2018. Os especialistas em segurança acreditam que a vulnerabilidade afetou cerca de 400 milhões de usuários e permitiu o acesso a todas as contas da Microsoft, do Microsoft Outlook à Microsoft Store.
Agonia no Google+
O que aconteceu Durante o ano, os especialistas do Google encontraram algumas vulnerabilidades em uma rede social em extinção.
Um deles , que permitiu descobrir a idade de login, sexo, endereço de e-mail e local de trabalho do usuário, existe desde 2015 e afetou cerca de 500 mil contas, o
segundo apareceu no código há relativamente pouco tempo , em novembro de 2018, mas revelou dados muito mais confidenciais: sob ataque havia 52,5 milhões de contas.
Qual o motivo Uma auditoria de segurança mostrou que ambas as vulnerabilidades foram causadas por erros na API do Google+ que abriram acesso não autorizado aos dados do usuário para aplicativos conectados.
Quais são as consequências. O Google não pode responder com segurança à questão de saber se a primeira vulnerabilidade foi explorada, já que os logs da API são armazenados por não mais de duas semanas. A segunda vulnerabilidade foi notada e corrigida 6 dias após o aparecimento, no entanto, a empresa ainda decidiu acelerar o fechamento do Google+. As APIs serão desativadas em 7 de março de 2019. A rede social deixará de funcionar completamente em abril deste ano.
DDoS de um registro
O que aconteceu Em 28 de fevereiro de 2018, os hackers
lançaram um
ataque recorde de 1,35 TB / s
nos servidores GitHub , mas em 5 de março de 2018,
analistas relataram que o recorde foi quebrado. Durante um novo ataque, a rede de um dos provedores americanos foi submetida a uma carga, atingindo o pico de 1,7 Tb / s.
Qual o motivo A culpa é a vulnerabilidade no código Memcached conhecido desde 2014 - software para armazenar dados em cache na RAM do servidor. No outono de 2017, foi encontrada uma maneira de usar a vulnerabilidade para implementar ataques DRDoS com multiplicação de tráfego através de servidores refletores vulneráveis.
Quais são as consequências. É provável que o registro seja quebrado, pois ainda existem muitos recursos na rede que usam as configurações incorretas do Memcached vulneráveis. Para se proteger contra esses ataques, o
Cloudflare recomenda restringir ou bloquear o UDP para a porta 11211.
O número de incidentes no campo da segurança da informação está crescendo apenas. Neste breve tour, coletamos apenas parte do espectro de possíveis ameaças, muitas das quais ainda não foram detectadas. Se você deseja proteger seu serviço ou se tornar um Sherlock Holmes com um chapéu branco, juntamente com os especialistas do Distrito Binário da Academia de Cybersecurity da BI.ZONE, conduzirá para você
segurança intensiva em
aplicativos da Web e
investigação de ataques cibernéticos para empresas . Os cursos serão realizados de 16 a 17 de fevereiro no local do Digital October.