Vazamento de dados e segurança digital

Recentemente a NetShoes tornou público o vazamento de dados de seus clientes, que no início de 2018 totalizavam mais de 2 milhões. Por fazer parte da bolsa de valores Americana, a empresa é obrigada a notificar este tipo de ocorrência a Securities and Exchange Commission (SEC). Segundo a empresa, autoridades Brasileiras foram notificadas e a polícia investiga a questão. Segundo fontes internas, os Hackers tentaram negociar um valor pela não divulgação dos dados, mas a empresa se manteve irredutível e não negociou com os criminosos.

Grande parte das empresas pecam em não contratar uma empresa ou consultor externo para validar sua segurança. Equipes internas podem cometer falhas que são facilmente mapeadas por alguém que não esteja no dia a dia da empresa. As vezes uma simples brecha permite alguém mal intencionado acessar dados sigilosos e fazer com que a empresa corra sérios riscos.

E engana-se quem acha que auditoria de segurança de dados tem conexão apenas com a máquina. Muitos criminosos fazem uso de engenharia social para conseguir informações adicionais para completar seu objetivo. Pequenos descuidos de funcionários e falta de procedimentos de segurança tendem a facilitar o processo de invasão.

Quando foi a última vez que você ou sua empresa contratou uma auditoria de segurança? Se a resposta foi nunca ou a mais de um ano, aconselho ligar o alerta e providenciar isto o quanto antes.

Leia a íntegra do comunicado da Netshoes:

“Em decorrência das notícias publicadas na data de hoje (terça-feira, 27 de fevereiro de 2018) – como réplicas de nota originalmente publicada por grande agência de notícias internacional, a Netshoes esclarece que não há nenhum fato novo relacionado ao episódio de divulgação de dados de consumidores da companhia. O comunicado enviado à SEC (Securities and Exchange Commission), que desencadeou a publicação de notícias na presente data, é meramente protocolar, em função de a Netshoes comercializar ações na Bolsa de Nova York (NYSE) desde abril de 2017.

Com origem em dezembro de 2017, o caso da divulgação de dados da empresa, inclusive, teve desfecho parcial em reunião com o Ministério Público do Distrito Federal e Territórios (MPDFT) – realizada no último dia 22 de fevereiro. Na ocasião, foi acordado que a empresa fará a comunicação pessoal, por meio de contato telefônico, a todos os clientes que tiveram seus dados disponibilizados por terceiros na internet.

A Netshoes reforça ainda que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.

Desde o primeiro momento em que foi noticiado o caso, todas as providências cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.”

Vulnerabilidade em sites de clientes da Wix.com permite invasão hacker

O site de seu negócio está hospedado no Wix.com? Melhor ler com muita atenção a informação abaixo:

Hoje a publicação InfoWorld noticiou que pesquisadores identificaram uma vulnerabilidade que permite que hackers incluam códigos maliciosos em todos os sites da plataforma Wix.com (clique aqui para ver a notícia). O problema afeta tanto sites simples como sites de ecommerce.

A falha grave não está recebendo a devida atenção pela equipe da empresa, que não tem tomado as providências necessárias para solução. Na matéria publicada inclusive listam que tentaram contato com o suporte da empresa que simplesmente ignorou o e-mail.

Lembre-se: O barato muitas vezes sai é muito caro!

Venha para a Um Publicidade e fuja deste tipo de problema! Entre em contato direto comigo:
Renan Viegas
[email protected]
Celular: (21) 98374-8413

Alerta Heartbleed: sua senha e seus dados podem ter sido hackeados

heartbleed

A notícia de tecnologia bombástica da semana foi a descoberta de um bug nominado Heartbleed na amplamente usada biblioteca de criptografia OpenSSL. A descoberta da vulnerabilidade foi feita por pesquisadores do Google e da Codenomicon, uma pequena empresa de segurança. Através do erro é possível copiar dados dos dispositivos vulneráveis, possibilitando descoberta de senhas, invasão, entre outros.

O problema afeta usuários de vários sites do mundo, inclusive grandes portais e serviços, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de Internet. O bug permanece até que sites vulneráveis tomem medidas para garantir a segurança de suas comunicações. Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados.

Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários. Porém o alerta é válido para todo e qualquer site, seja ele informativo, de comércio eletrônico, bancos, entre outros.

Não há nada que os usuários possam fazer para “consertar seus computadores”. O problema está nos servidores e até que estes sites vulneráveis tomem medidas para garantir a segurança de suas comunicações, o usuário só pode contar com a sorte. Sites e empresas de que tenham certificados digitais, após a atualização/correção do problema, devem emitir novos certificados e chaves usados para a criptografia de tráfego de Internet com navegadores de Web (Firefox, Internet Explorer, Google Chrome, etc).

Além de servidores, a biblioteca também é utilizada por sistemas operacionais de SmartPhones, como o Android. Porém, a probabilidade de problemas neste caso é bem menor.

Procure trocar todas as suas senhas, mas evite mudá-las até que você tenha como ter certeza que os serviços protegidos por essas senhas não têm a vulnerabilidade Heartbleed. Uma dica é conferir no site http://filippo.io/Heartbleed/. Além disso, considere a adoção de autenticação de dois fatores (2FA) sempre que puder. Google e outros já utilizam este método.

Mais informações sobre o problema:
http://heartbleed.com/

Para verificar se o site usa a versão problemática do OpenSSL:
http://filippo.io/Heartbleed/

Para verificar se seu aparelho Android usa a versão problemática do OpenSSL:
Heartbleed Detector
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Se você utiliza o browser Google Chrome, pode instalar o seguinte plugin:
ChromeBleed

E se você quiser a explicação técnica em detalhes do problema, recomendo este link:
http://nakedsecurity.sophos.com/2014/04/08/anatomy-of-a-data-leak-bug-openssl-heartbleed/