Novas descobertas esta semana mostraram que uma plataforma mal configurada usada pelo Departamento de Segurança Interna deixou informações sensíveis de segurança nacional – incluindo dados relacionados à vigilância de americanos – expostas e acessíveis a milhares de pessoas. Enquanto isso, 15 oficiais de Nova York foram presos pelo Departamento de Imigração e Controle de Alfândega e pelo Departamento de Polícia de Nova York esta semana em ou ao redor da 26 Federal Plaza – onde o ICE detém pessoas em condições que os tribunais decidiram serem insalubres.
A Rússia realizou exercícios militares conspícuos testando mísseis hipersônicos perto das fronteiras da OTAN, aumentando as tensões na região após o Kremlin ter recentemente sobrevoado drones no espaço aéreo polonês e romeno. Golpistas têm uma nova ferramenta para enviar mensagens de texto de spam, conhecida como “blasters de SMS”, que podem enviar até 100.000 mensagens por hora enquanto evitam medidas anti-spam das empresas de telecomunicações. Os golpistas implantam torres de celular falsas que enganam os telefones das pessoas para se conectarem aos dispositivos maliciosos, permitindo que enviem as mensagens diretamente e contornem os filtros. E um par de falhas no sistema de gerenciamento de identidade e acesso Entra ID da Microsoft, que foram corrigidas, poderiam ter sido exploradas para acessar virtualmente todas as contas de clientes do Azure – um desastre potencialmente catastrófico.
A WIRED publicou um guia detalhado esta semana sobre como adquirir e usar um telefone descartável, além de alternativas que são mais privadas do que um telefone regular, mas não tão trabalhosas quanto um verdadeiro descartável. E atualizamos nosso guia para as melhores VPNs.
Mas espere, há mais! A cada semana, reunimos as notícias de segurança e privacidade que não cobrimos em profundidade. Clique nos títulos para ler as histórias completas. E fique seguro por aí.
O Vermes “Shai-Hulud” Está Consumindo Seus Caminhos Através de Centenas de Pacotes de Software
O mundo da cibersegurança viu, para seu crescente desagrado, muitos ataques à cadeia de suprimentos de software, nos quais hackers escondem seu código em um pedaço legítimo de software para que ele seja silenciosamente semeado em cada sistema que usa aquele código ao redor do mundo. Nos últimos anos, hackers até tentaram vincular um ataque à cadeia de suprimentos de software a outro, encontrando um segundo alvo de desenvolvedor de software entre suas vítimas para comprometer outro pedaço de software e lançar uma nova rodada de infecções. Esta semana viu uma nova e preocupante evolução dessas táticas: um verme de ataque à cadeia de suprimentos auto-replicante em plena expansão.
O malware, que foi apelidado de Shai-Hulud, em homenagem ao nome Fremen para os monstruosos Vermes de Areia no romance de ficção científica Duna (e o nome da página do Github onde o malware publicou credenciais roubadas de suas vítimas), comprometeu centenas de pacotes de software de código aberto no repositório Node Packet Management, ou NPM, usado por desenvolvedores de Javascript. O verme Shai-Hulud é projetado para infectar um sistema que usa um desses pacotes de software, então procurar por mais credenciais NPM nesse sistema para que possa corromper outro pacote de software e continuar sua propagação.
Por uma contagem, o verme se espalhou para mais de 180 pacotes de software, incluindo 25 usados pela empresa de cibersegurança CrowdStrike, embora a CrowdStrike tenha removido esses pacotes do repositório NPM. Outra contagem da empresa de cibersegurança ReversingLabs colocou o número muito mais alto, em mais de 700 pacotes de código afetados. Isso torna o Shai-Hulud um dos maiores ataques à cadeia de suprimentos da história, embora a intenção de seu roubo em massa de credenciais permaneça longe de ser clara.
Como as Empresas de Tecnologia dos EUA Ajudaram a Construir o Panóptico da China
Os defensores da privacidade ocidentais há muito apontam para os sistemas de vigilância da China como a potencial distopia que aguarda países como os Estados Unidos se a coleta de dados da indústria de tecnologia e do governo não for controlada. Mas uma extensa investigação da Associated Press destaca como os sistemas de vigilância da China foram, supostamente, amplamente construídos com tecnologias dos EUA. Os repórteres da AP encontraram evidências de que a rede de vigilância da China – desde o sistema de policiamento “Golden Shield” que os oficiais de Pequim usaram para censurar a internet e reprimir supostos terroristas até as ferramentas usadas para direcionar, rastrear e muitas vezes deter uigures na região de Xinjiang do país – parecem ter sido construídas com a ajuda de empresas americanas, incluindo IBM, Dell, Cisco, Intel, Nvidia, Oracle, Microsoft, Thermo Fisher, Motorola, Amazon Web Services, Western Digital e HP. Em muitos casos, a AP encontrou materiais de marketing em chinês nos quais as empresas ocidentais ofereciam especificamente aplicativos e ferramentas de vigilância para a polícia chinesa e serviços de inteligência doméstica.
Dois Supostos Membros do Grupo de Hacking Scattered Spider Presos
O Scattered Spider, um raro grupo cibercriminoso de hacking e extorsão baseado em grande parte em países ocidentais, tem causado caos na internet há anos, atingindo alvos desde MGM Resorts e Caesar’s Palace até a cadeia de supermercados Marks & Spencer no Reino Unido. Agora, dois supostos membros desse grupo notório foram presos no Reino Unido: Thalha Jubair, de 19 anos, e Owen Flowers, de 18 anos, ambos acusados de hackear o sistema de transporte de Londres – supostamente causando mais de $50 milhões em danos – entre muitos outros alvos. Jubair sozinho é acusado de intrusões que visaram 47 organizações. As prisões são apenas as mais recentes em uma série de prisões direcionadas ao Scattered Spider, que, no entanto, continuou uma sequência quase ininterrupta de violações. Noah Urban, que foi condenado por acusações relacionadas à atividade do Scattered Spider, falou da prisão para a Bloomberg Businessweek em um longo perfil de sua carreira cibercriminoso. Urban, de 21 anos, foi condenado a uma década de prisão.