codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 23/03/2024 #383

Closed github-actions[bot] closed 7 months ago

github-actions[bot] commented 7 months ago

:point_down:

github-actions[bot] commented 7 months ago

Boletim de Segurança

:arrow_right: Falha grave expõe 46 Mil chaves pix do Banco Central. O Banco Central (BC) anunciou o vazamento de dados cadastrais de 46.093 chaves Pix pertencentes a clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia). Este incidente, divulgado em 18 de março de 2024, marca o sexto vazamento de dados desde a implementação do sistema de pagamentos instantâneos em novembro de 2020. De acordo com o BC, o vazamento foi resultado de falhas pontuais nos sistemas da instituição de pagamento, afetando apenas dados cadastrais, sem impactar a movimentação financeira ou expor informações protegidas por sigilo bancário, como saldos, senhas e extratos. Apesar do baixo impacto potencial para os clientes, o Banco Central optou por divulgar o incidente, reforçando seu compromisso com a transparência. As pessoas afetadas pelo vazamento serão notificadas exclusivamente pelo aplicativo ou internet banking de sua instituição financeira, sendo aconselhadas a desconsiderar qualquer comunicação por outros meios, como chamadas telefônicas, SMS e e-mails. O BC esclareceu que a exposição dos dados não implica necessariamente que todas as informações tenham sido acessadas por terceiros, mas que estiveram visíveis e, potencialmente, sujeitas a captura. O incidente será investigado, e sanções poderão ser aplicadas conforme a gravidade do caso, incluindo multas, suspensão ou exclusão do sistema Pix. Este é o sexto incidente de vazamento de dados do Pix desde sua criação. Incidentes anteriores incluíram o vazamento de 414,5 mil chaves Pix do Banco do Estado de Sergipe (Banese) em agosto de 2021, 160,1 mil clientes da Acesso Soluções de Pagamento em janeiro de 2022, 2,1 mil clientes da Logbank Pagamentos em fevereiro de 2022, 137,3 mil chaves Pix da Abastece Aí Clube Automobilista Payment Ltda em setembro de 2022, e 238 chaves Pix da Phi Pagamentos em setembro do ano passado. Todos os casos envolveram a exposição de informações cadastrais sem comprometer senhas ou saldos bancários. O Banco Central mantém uma página dedicada a informar o público sobre incidentes relacionados com chaves Pix ou outros dados pessoais sob sua custódia, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

:arrow_right: Nova atualização do WhatsApp impede prints de fotos de perfil. O WhatsApp iniciou uma nova medida de segurança que impede a captura de tela das fotos de perfil dos usuários na versão Android do aplicativo. Essa mudança, que ainda não foi oficialmente anunciada pela Meta, proprietária do WhatsApp, já está em vigor na versão 2.24.4.76 do aplicativo, disponível na Play Store. Durante os testes realizados, foi observado que o aplicativo bloqueia os prints de fotos de perfil de contas individuais, mas não impede capturas de tela das capas de grupos e canais. No entanto, a versão do aplicativo para iOS ainda permite a realização de capturas de tela. Ainda não está claro como essa funcionalidade será implementada na versão do WhatsApp para computadores. É importante notar que as fotos enviadas com visualização única, que também não permitem capturas de tela, só podem ser acessadas por dispositivos móveis, reforçando a privacidade do conteúdo. Essa novidade parece ser mais um esforço do WhatsApp para aumentar a privacidade e a segurança dos perfis dos usuários, especialmente para protegê-los contra golpistas. Muitos cibercriminosos utilizam fotos do WhatsApp de uma pessoa para criar contas falsas e extorquir dinheiro de outras vítimas. O aplicativo já possui uma configuração de privacidade que oculta a imagem de perfil para números que não estão salvos na agenda do usuário, mas a nova medida contra capturas de tela adiciona uma camada extra de segurança para prevenir clonagens de conta e outras formas de fraude.

:arrow_right: Governadores são convocados para defender sistemas de água contra ataques cibernéticos. O Conselheiro de Segurança Nacional dos EUA, Jake Sullivan, e o Administrador da Agência de Proteção Ambiental (EPA), Michael Regan, alertaram os governadores sobre ataques cibernéticos visando a infraestrutura crítica do setor de água do país. Em uma carta conjunta, solicitaram o apoio dos governadores para garantir que os sistemas de água em seus estados estejam adequadamente protegidos contra ataques cibernéticos e possam se recuperar caso sejam violados. “Os sistemas de água potável e de águas residuais são vitais para as comunidades, mas muitos sistemas não adotaram práticas importantes de cibersegurança para evitar possíveis ataques cibernéticos”, disse Regan. O Conselho de Segurança Nacional (NSC) e a EPA convidaram os governadores para uma reunião virtual em 21 de março para fortalecer a colaboração entre entidades governamentais e sistemas de água e estabelecer uma Força-Tarefa de Cibersegurança do Setor de Água. Esta força-tarefa será responsável por identificar ações e estratégias que podem ser implementadas em todo o país para minimizar o risco de ataques cibernéticos aos sistemas de água. “Trabalhamos em todo o governo para implementar padrões significativos de cibersegurança em nossa infraestrutura crítica nacional, incluindo no setor de água, à medida que permanecemos vigilantes aos riscos e custos das ameaças cibernéticas”, disse Sullivan. Nos últimos meses, grupos de ameaças apoiados pelos estados iraniano e chinês visaram e violaram sistemas de água dos EUA. Atores de ameaças afiliados ao IRGC infiltraram-se em uma instalação de água da Pensilvânia, enquanto hackers do Volt Typhoon violaram as redes de organizações de infraestrutura crítica, incluindo sistemas de água potável. Instalações de infraestrutura crítica dentro do Setor de Sistemas de Água e Esgoto (WWS) dos EUA foram violadas várias vezes na última década, às vezes levando à implantação de ransomware como Ghost, ZuCaNo e Makop.    

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/