O caso que vamos comentar é nada mais nada menos que um novo ataque hacker, algo que já temos observado nos últimos tempos. Contudo, pelas características de como o ataque foi realizado, vale a pena uma menção. Resultado como parte da campanha #OpMadCow, um grupo do Anonymous entrou e tomou o controle da conta oficial no Twitter do Burger King, aparentemente, através de uma senha frágil (aparentemente era utilizada a palavra “whopper”). Além do dano na imagem da marca que causa este tipo de incidente, neste caso, os hackers tiveram o trabalho de modificar toda a conta e fazer publicidade do principal concorrente da marca:  McDonald’s.

Como pode-se observar, os hackers colocaram na conta oficial (@BurgerKing) o logo, o nome e o website do concorrente. Este incidente é um além dos outros que ocorrem diariamente às pessoas que não utilizam senhas fortes em seus serviços críticos, e no caso de contas corporativas põe-se mais em evidência o problema.

As campanhas de conscientização em segurança são um pilar essencial em qualquer Sistema de Gestão da Segurança da Informação, e neste caso põe-se em evidência como educar sobre o uso de senhas a um Gestor de Redes Sociais pode ser tão importante como para um administrador de rede.

No estudo de análise de riscos sempre é recomendável estimar qual poderia ser o custo de um incidente de Informática,as vezes é muito difícil estimar questões como a imagem da marca.

Ao momento, em menos de meia hora do ataque, a conta do Twitter já somava mais de 9.000 novos followers, de modo que alguns diziam que tratava-se de uma atividade “hacker voluntária” (questão pouco provável, embora as hipóteses sempre aparecem na rede) ou, talvez mais provável ainda que os efeitos colaterais positivos de um incidente deste tipo, o qual poderia não ser tão correto.

Finalmente, para completar as lições aprendidas e aproveitando o comentário anterior, será responsabilidade da Burger King recuperar o controle da conta e aproveitar esses novos followers, questão que poderia ser trabalhada sim, se possuí-se um plano de resposta à incidentes para atuar diante deste tipo de infortúnio. Entretanto, recordamos aos leitores, que o dia do ataque era feriado nos Estados Unidos portanto teve-se que considerar o tempo de recuperação que poderia levar este incidente.

No fim, um novo caso de um ataque hacktivista que, por suas características, tem despertado muitas opiniões nas redes sociais que seguramente serão prejudiciais para a empresa. Nestes casos não só refletem a má escolha das senhas, como ainda , servem para começar a compreender a importância de fazer uso dos mecanismos de dupla autenticação sempre que esteja disponível, já que agregam um nível a mais de segurança às senhas originais. Para tanto, se você possuí uma senha fraca para o Twitter, é hora de trocá-la. E se é um gestor de Redes Sociais, tenha pressa!

Sebastián Bortnik

Gerente de Educação e Serviços.

Categories: Engenharia Social, Pirataria, Vulnerabilidades
No Comments »

Esse é o típico site que nunca ninguém conhece, ou diz não conhecer. Basicamente, o Cam4Bucks é um serviço que permite a “modelos amadores” exibirem ao vivo todo seu talento, cobrando módicas quantias em dinheiro, e a internautas ávidos por conteúdo erótico caseiro satisfazerem sua vontade – se possível, gratuitamente.

Pois bem, esse popular site foi hackeado por um membro do Anonymous Brasil cuja conta no Twitter é @lulz_much_lulz. O invasor supostamente liberou o código fonte da plataforma, publicando-a na Internet para qualquer um que esteja disposto a baixar os 77 Mb que pesa.

O cibercriminoso, contudo, afirmou no Twitter que tem o banco de dados completo, contendo tantas informações de usuários do site que chega a alcançar 1,2 Gb de tamanho. Com isso, aproveitou para fazer campanha no Twitter: quando alcançar mil seguidores, promete liberar publicamente o banco de dados completo com toda a informação.

 Anoymous – BR ‏@lulz_much_lulz

http://cam4bucks.com  hacked, source Exposed [70MB] #OpPedo →http://x90.es/4dM  Will release 1.2GB of DB when 1k followers@Cyber_War_News

Para alguns, mil seguidores no Twitter pode ser pouco, mas considerando que o criminoso tem pouco mais de 30… Ainda tem muito chão pela frente.

O que parece estar levantando mais curiosidade é o fato de que pode haver registros de todos os tipos de usuários, alguns anônimos, e outros nem tanto. É provável que o responsável pelo golpe procure no banco de dados por nomes que possam causar impacto na opinião pública, usando essa informação de alguma forma. Seguiremos acompanhando.

Yolanda Ruiz Hervás
Diretora de Marketing – ESET Espanha

Categories: Alertas
No Comments »

Os fatos ocorridos em janeiro referentes ao fechamento do popular site de armazenamento de arquivos Megaupload por parte do FBI geraram diversas reportagens e artigos de opinião na Internet, tanto pelo debate sobre a propriedade intelectual, como também pelos ataques de hacktivismo do grupo Anonymous. Porém, há outro fator que vale ser comentado: O que aconteceu com os dados que muitos usuários perderam? Além das implicâncias legais sobre o tema, sempre é uma boa oportunidade para falar da importância de manter sempre o backup de informação.

Sempre destacamos a importância de analisar quais informações consideramos mais importantes para criar os backups. Tal decisão sempre vem respaldada por uma análise de riscos: Há alguma probabilidade de perder tal informação? O que acontece em muitos casos, provavelmente como no que ocorre com o Megaupload, é que os usuários não fazem backup porque consideram que não há riscos de que tal informação não esteja disponível, e este tipo de situação pouco esperada não deve ser considerado.

Para aqueles usuários que tinham informação armazenada online através do Megaupload, pode-se dizer que foi uma má escolha. Lamentavelmente esse tipo de incidente pode ocorrer, por isso é importante sempre fazer uma análise de que tipo de backup (ao menos algum que não seja muito custoso) se pode realizar para evitar esses incidentes.

Por outro lado, se alguém utilizava o Megaupload como backup, deve se lembrar de que sua informação já não está garantida, e por isso é importante (antes que se arrependa) buscar outro site ou serviço para armazenar a informação antes de qualquer novo incidente.

Novamente, vale a pena recordar a importância dos backups, e recordar que as soluções de Cloud Computing podem ter riscos tanto como outras mídias físicas que, a priori, parecem mais vulneráveis. Não se trata de uma competição entre essas duas opções, mas sim da importância de estar sempre atento à possibilidade de perder informações que podem ser muito importantes, e que muitas vezes pode não ser simples recupera-las.

Ou seja, estamos falando de backup. O incidente do Megaupload é só uma desculpa, para recordar todo o mencionado neste post. Vamos cuidar de nossa informação!

Sebastián Bortnik
Coordenador de Awareness & Research

Categories: Gestão
No Comments »