Antivírus e Segurança | WebaDesign - Empresa de Webdesign - Desenvolvimento Web Design Macaé e Curitiba

iPhone testa “modo ladrão” que protege informações em caso de roubo

12 de dezembro de 2023

iPhone testa “modo ladrão” que protege informações em caso de roubo

Tela de Proteção de Dispositivo Roubado no iOS 17.3 Beta (Imagem: Thássius Veloso/Tecnoblog)

O iPhone deve ganhar em breve um novo recurso de segurança chamado de Proteção de Dispositivo Roubado (Stolen Device Protection em inglês). Quando ele está ativado, mesmo que um ladrão tenha o código para desbloquear o aparelho, ele fica sem acesso a senhas salvas ou a configurações sensíveis.

A novidade apareceu no primeiro beta do iOS 17.3, liberado nesta terça-feira (12) para desenvolvedores. Ao ser ativada, a Stolen Device Protection (ou Proteção ao Aparelho Roubado, em tradução livre) bloqueia mudanças como:

usar senhas ou chaves de acesso salvas

pedir um Apple Card (disponível apenas nos EUA)

desligar o modo de aparelho perdido

apagar os dados do aparelho

usar métodos de pagamento salvos

Tudo isso só pode ser desbloqueado com autenticação biométrica — Face ID, nos iPhones mais novos, ou Touch ID, nos mais antigos.

Algumas alterações terão uma proteção ainda mais forte. São os casos de:

mudar a senha do Apple ID

mudar as configurações de segurança do Apple ID

alterar as configurações de Touch/Face ID ou o código de acesso

desligar o app Buscar

desligar a Proteção ao Aparelho Roubado

Nessas situações, se o iPhone estiver longe de localizações conhecidas, como casa e trabalho, a pessoa precisará fazer a autenticação biométrica, aguardar uma hora e repetir a autenticação biométrica.

Proteção vem após roubos de iPhones nos EUA

A ferramenta já havia sido revelada pelo Wall Street Journal em fevereiro deste ano. Ela é uma resposta a um tipo de crime que vem se tornando mais frequente nos EUA.

Por lá, criminosos ficam de olho em potenciais vítimas para descobrir a senha de seus iPhones, em lugares como bares e restaurantes. Então, roubam o aparelho, digitam a senha para desbloquear e ganham acesso amplo a vários recursos, como usar o Apple Pay, pedir o Apple Card e acessar contas bancárias, além de trancar o usuário para fora de seu iCloud. Com a nova proteção, isso deve ficar mais difícil.

Com informações: MacRumors, 9to5Mac e The Wall Street Journal
iPhone testa “modo ladrão” que protege informações em caso de roubo

iPhone testa “modo ladrão” que protege informações em caso de roubo
Fonte: Tecnoblog

Apple e Google compartilham histórico de notificações com autoridades

7 de dezembro de 2023

Apple e Google compartilham histórico de notificações com autoridades

Notificações ficam registradas em servidores da Apple ou do Google, dependendo do sistema operacional (Imagem: Duo Nguyen/Unsplash)

Apple e Google confirmaram que autoridades podem acessar notificações que foram enviadas para celulares. Para isso, o Google exige uma ordem judicial, enquanto a Apple requer apenas uma intimação.

As informações vieram a público após uma carta do senador dos EUA Ron Wyden. Ele quer que o Departamento de Justiça atualize ou remova políticas que proíbem que empresas informem o público sobre pedidos secretos de governos.

Wyden diz ter recebido uma denúncia de que Apple e Google compartilham notificações “push” com autoridades, mas, ao questionar as empresas, elas alegaram não poder falar sobre isso, devido a uma proibição do governo federal dos EUA.

Apple e Google confirmam solicitações

Apesar de terem se recusado a falar com a equipe do senador, Apple e Google emitiram comunicados públicos comentando a carta.

A Apple confirmou que o governo federal dos EUA a proibiu de compartilhar informações sobre essas solicitações. No entanto, como o método se tornou público, ela vai passar a detalhar estes pedidos em seus relatórios de transparência futuros.

A empresa também atualizou suas diretrizes para processos jurídicos nos EUA. Agora, elas incluem um trecho que diz que registros de notificações push podem ser obtidos com uma intimação ou um processo legal de nível mais alto.

Notificações push passam por servidores antes de chegar ao aparelho (Imagem: Jamie Street/Unsplash)

O Google também confirmou que recebe solicitações para acesso a registros de notificações push, mas que elas precisam de ordens judiciais.

A companhia afirmou que inclui este tipo de informação em seus relatórios de transparência. Segundo uma reportagem da Wired, os relatórios divulgados entre dezembro de 2019 e dezembro de 2022 não especificam quantas solicitações eram direcionadas a notificações.

O Washington Post analisou alguns processos que envolveram acesso a notificações de suspeitos. Entre eles, estão casos de lavagem de dinheiro e pornografia infantil, bem como envolvimento na invasão do Capitólio, em 2021.

Como investigadores acessam notificações

Ao contrário do que muita gente pensa, notificações push não vão diretamente do app para a tela do celular. Elas precisam passar por serviços dos sistemas operacionais, como o Push Notification Service, do iOS da Apple, e o Firebase Cloud Messaging, do Android do Google.

Como explica a Wired, cada usuário de um app recebe um token de push, que é compartilhado entre o app e o sistema de notificações do sistema operacional. Esses tokens não são ligados permanentemente a um usuário, e podem mudar caso ele desinstale e reinstale um app ou troque de aparelho.

Para descobrir o token, as autoridades precisam procurar primeiro o desenvolvedor do aplicativo de interesse. A partir daí, elas procuram a Apple e o Google e solicitam informações associadas.

Com informações: Wired, Washington Post, Ars Technica
Apple e Google compartilham histórico de notificações com autoridades

Apple e Google compartilham histórico de notificações com autoridades
Fonte: Tecnoblog

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

29 de novembro de 2023

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

Google (Imagem: Vitor Pádua / Tecnoblog)

O Google corrigiu mais uma falha de segurança do seu navegador, o Chrome. Esta é a sexta vulnerabilidade do tipo zero-day em 2023. O problema envolvia a biblioteca de gráficos 2D Skia, usada pelo browser e por outros produtos, como o ChromeOS e o Android.

A correção está sendo distribuída no canal Stable do Chrome para Windows (versão 119.0.6045.199/.200) e para macOS e Linux (119.0.6045.199).

O Google diz que a distribuição pode levar dias ou até semanas para chegar a todos. No meu computador, ela já chegou.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog)

Para saber se seu navegador foi atualizado, clique nos três pontinhos no canto superior direito, vá até “Ajuda” e escolha “Sobre o Google Chrome”. Uma página com o número da versão instalada vai aparecer. Se um update estiver disponível, ela será instalada imediatamente.

Vulnerabilidade pode afetar outros softwares

Falhas zero-day são aquelas descobertas por criminosos antes mesmo da empresa ou organização responsável pelo software, que fica com “zero dia” para resolver o problema — daí o nome.

A vulnerabilidade foi identificada por Benoît Sevens e Clémant Lecigne, pesquisadores do grupo de análise de ameaças do Google, e reportada no dia 24 de novembro. Ela recebeu o identificador CVE-2023-6345.

Este grupo é conhecido por descobrir vulnerabilidades zero-day. Geralmente, este tipo de problema é explorado por grupos de hackers ligados a estados, geralmente tendo jornalistas e políticos de oposição como alvos.

A empresa confirma que um exploit desta falha já existe — ou seja, atacantes podem estar tirando proveito do problema para infectar computadores com spyware.

O Google não deu mais detalhes sobre a vulnerabilidade de segurança. A empresa diz apenas que ela envolve um integer overflow (transbordamento de inteiro, em tradução livre) na biblioteca gráfica 2D Skia.

Isso pode ser explorado de várias formas, de fazer apps travarem a executar códigos de maneira arbitrária (ou seja, que o próprio atacante escolhe).

Segundo a empresa, os detalhes só serão revelados quando a maioria dos usuários atualizar o Chrome. Caso ela afete outros softwares, a restrição será estendida.

Esta é a sexta vulnerabilidade zero-day encontrada no Chrome em 2023. Em setembro, outras duas foram corrigidas, e mais três receberam reparos no primeiro semestre.

Com informações: Bleeping Computer
Google conserta sexta vulnerabilidade zero-day do Chrome em 2023

Google conserta sexta vulnerabilidade zero-day do Chrome em 2023
Fonte: Tecnoblog

Bluetooth tem falhas que põem em risco aparelhos lançados desde 2014

29 de novembro de 2023

Bluetooth tem falhas que põem em risco aparelhos lançados desde 2014

Pareamento Bluetooth no Android (imagem: Emerson Alecrim/Tecnoblog)

Duas falhas de segurança recentemente descobertas permitem interceptar e quebrar a criptografia de conexões Bluetooth. O problema afeta das versões 4.2 a 5.4 do padrão, colocando aparelhos lançados desde 2014 em risco.

Pesquisadores da Eurecom, escola de tecnologia que fica na França, desenvolveram seis novos ataques, chamados de “BLUFFS”. O nome é um trocadilho com “bluff”, que significa “blefe”, mas a sigla significa “ataques e defesas de sigilos futuros do Bluetooth”.

Como funciona o ataque?

Os BLUFFS exploram quatro falhas no padrão Bluetooth, sendo duas conhecidas e duas recém-identificadas. Elas não são específicas de um aparelho, de um app ou de um sistema operacional. Em vez disso, elas afetam toda a arquitetura.

O problema está em como as chaves de sessão são geradas para descriptografar dados durante uma troca. O ataque força a derivação (criação) de uma chave de sessão curta, portanto fraca e previsível.

Depois, o atacante usa força-bruta nesta chave, permitindo que ela consiga quebrar a criptografia de comunicações passadas ou manipular a criptografia de comunicações futuras.

Para a ação funcionar, o atacante precisa estar próximo de dois alvos que estão trocando dados. Ele vai, então, “fingir” que é um deles para criar a chave de sessão fraca.

Apple AirPods Pro (imagem: Paulo Higa/Tecnoblog)

Os seis ataques descritos combinam vários tipos de falsificação e ataques “man-in-the-middle”. Eles funcionam mesmo que as vítimas tenham suporte ao Secure Connections (SC) e ao Legacy Secure Connections (LSC).

O artigo publicado pela Eurecom diz que os pesquisadores testaram os ataques em smartphones, fones de ouvido e laptops com versões do Bluetooth entre 4.1 e 5.2. Em todos os casos, pelo menos três dos seis ataques funcionaram.

Entre os aparelhos colocados à prova, estão iPhones, AirPods, smartphones do Google, da Samsung e da Xiaomi, fones da Jaybird e notebooks da Lenovo e da Dell.

Como se proteger?

Os pesquisadores da Eurecom entraram em contato com o Bluetooth SIG (Special Interest Group), organização sem fins lucrativos responsável por supervisionar e licenciar a tecnologia.

A organização sugere que as implementações passem a rejeitar conexões com chaves fracas e, durante o pareamento, aceitem apenas conexões seguras.

AirDrop do iPhone usa Bluetooth (imagem: Emerson Alecrim/Tecnoblog)

Deixar o Bluetooth desligado em lugares públicos é garantia de não sofrer ataques, mas é pouco conveniente. Por isso, o melhor a fazer é evitar o envio ou o recebimento de arquivos importantes pelo Bluetooth.

Com informações: Bleeping Computer, 9to5Mac
Bluetooth tem falhas que põem em risco aparelhos lançados desde 2014

Bluetooth tem falhas que põem em risco aparelhos lançados desde 2014
Fonte: Tecnoblog

Surfshark na Cyber Monday oferece até 5 meses grátis de VPN e segurança digital

27 de novembro de 2023

Surfshark na Cyber Monday oferece até 5 meses grátis de VPN e segurança digital

Surfshark na Cyber Monday (imagem: reprodução/Surfshark)

Que tal aproveitar a Cyber Monday 2023 para aumentar a sua privacidade e segurança na internet? Especializada em proteção digital, a Surfshark VPN aproveita a data para oferecer até cinco meses gratuitos e descontos que chegam a 80% na assinatura dos planos.

Surfshark: liberdade e segurança online ao seu alcance

Contar com uma solução de segurança que inclui uma VPN versátil é essencial em tempos nos quais as ameaças digitais são cada vez mais sofisticadas. Nesse sentido, a Surfshark entrega:

Privacidade inabalável: a Surfshark oferece navegação anônima e segura, que protege suas informações pessoais e financeiras, recurso especialmente importante para eventos de compras, como a própria Cyber Monday;

Acesso global liberado: a Surfshark te liberta de restrições geográficas, permitindo que você acesse conteúdos globais, desde streaming de filmes e séries até sites internacionais, sem barreiras;

Proteção para todos os seus dispositivos: com uma única conta na Surfshark você protege todos os seus dispositivos, sejam eles smartphones, tablets ou computadores, tornando a sua navegação mais segura, independentemente da origem.

Promoção de Cyber Monday: até 80% de desconto e cinco meses grátis

A Surfshark chega à Cyber Monday com uma oferta imperdível: até 80% de desconto mais cinco meses gratuitos no plano de dois anos!

É uma oportunidade única de adquirir um serviço de VPN premium por um preço incrivelmente baixo, afinal, a Surfshark se destaca no mercado de VPNs pelo seu excelente custo-benefício, oferecendo alta qualidade a preços acessíveis. Nesta Cyber Monday, o que já era bom ficou ainda mais vantajoso!

Mas não perca tempo: as ofertas de Cyber Monday da Surfshark são limitadas.

A Surfshark oferece VPN, antivírus e mais (imagem: reprodução/Surfshark)

Por que escolher a Surfshark?

Além de ser uma empresa de renome internacional, a Surfshark oferece várias vantagens aos assinantes dos seus planos, como:

Economia: a VPN da Surfshark te ajuda a evitar preços aumentados com base em localização ou histórico de navegação, permitindo que você tenha acesso a numerosas ofertas;

Privacidade garantida: a Surfshark mantém suas atividades online protegidas de “olhares indiscretos”, seja em casa ou em redes públicas;

VPN Premium a preços acessíveis: aproveite descontos de até 80% e cinco meses grátis, com possibilidade de usufruir dos serviços por mais de dois anos;

Conectividade global e alta velocidade: acesse mais de 3.200 servidores em 100 países, com portas de até 10 Gb/s para uma navegação rápida e sem interrupções;

Recursos avançados: utilize recursos sofisticados como a Conexão Automática, o CleanWeb para bloquear anúncios e malwares, o Bypasser para personalizar sua navegação, e o Kill Switch para proteção extra;

Avaliações positivas dos usuários: os usuários da Surfshark destacam sua facilidade de uso, confiabilidade e suporte ao cliente de excelência;

Aprovada por especialistas: sites e fóruns de tecnologia de renome colocam a Surfshark entre as melhores VPNs do mercado, elogiando sua velocidade, segurança e recursos complementares.

Surfshark na Cyber Monday tem até 80% de desconto (imagem: reprodução/Surfshark)

Vantagens adicionais da Surfshark

A VPN da Surfshark é uma ferramenta poderosa, mas não a única. Entre os recursos adicionais do serviço estão:

Surfshark Antivirus: protege seus dispositivos de malwares como vírus e cavalos-de-troia;

Surfshark Search: acesse resultados de pesquisa na web imparciais e livres de anúncios direcionados;

Surfshark Alert: te informa sobre vazamentos de dados envolvendo suas informações pessoais.

Garantia de satisfação

Não perca a oportunidade de garantir até cinco meses grátis no plano de dois anos mais um desconto de 80%!

Tem mais: você pode testar a Surfshark sem riscos com a garantia de reembolso de 30 dias. Se não ficar satisfeito, é possível obter um reembolso integral dentro desse período.
Surfshark na Cyber Monday oferece até 5 meses grátis de VPN e segurança digital

Surfshark na Cyber Monday oferece até 5 meses grátis de VPN e segurança digital
Fonte: Tecnoblog

Google processa golpistas que usam Bard falso para infectar computadores

13 de novembro de 2023

Google processa golpistas que usam Bard falso para infectar computadores

Google Bard foi revelado em fevereiro de 2023 (Imagem: Vitor Pádua/Tecnoblog)

A inteligência artificial está em alta, e isso é um prato cheio para pessoas mal-intencionadas. O Google está movendo um processo contra supostos golpistas, que teriam prometido uma versão atualizada do Bard para download. Tudo falso: o arquivo baixado era, na verdade, um malware.

O processo foi apresentado nesta segunda-feira (13) na Califórnia (EUA). A ação diz que indivíduos, que supostamente estariam no Vietnã, criaram páginas em redes sociais com nomes enganosos, como Google AI, AIGoogle.Plus, AIGoogle Bard FB e AIGoogleBard.

Eles também compraram anúncios para oferecer o download do Bard, chatbot do Google com inteligência artificial generativa.

Bard falso roubava redes sociais

O arquivo baixado é, na verdade, um malware. Ao ser instalado, ele rouba logins e senhas de redes sociais das vítimas, dando aos criminosos controle sobre elas. Essas contas são usadas para publicar links do falso Bard, aumentando o alcance do golpe.

Mesmo assim, não se sabe qual o objetivo final da ação. O processo pede informações para descobrir qual é a finalidade do golpe.

“Os acusados são três indivíduos cuja identidade é desconhecida. Eles alegam fornecer, entre outras coisas, ‘a versão mais recente’ do Google Bard para download”, diz o processo. “Os acusados não são afiliados ao Google em nenhuma maneira, apesar de fingirem ser. Eles usaram marcas registradas do Google, incluindo Google, Google AI e Bard para atrair vítimas desprevenidas e fazê-las baixar malware em seus computadores”.

Os golpistas aproveitam o interesse no assunto para veicular informações falsas sobre as ferramentas de inteligência artificial. As propagandas dizem que o Bard é pago, por exemplo, ou que precisa ser instalado no computador. Na verdade, o serviço está disponível gratuitamente na web.

Segundo representantes do Google, mais de 300 pedidos de retirada de anúncios foram protocolados. A empresa afirma que o Facebook e outras plataformas têm colaborado com os pedidos.

O processo pede que os golpistas fiquem impedidos de criar novos domínios maliciosos e de registrar qualquer endereço de internet nos EUA.

Nome do ChatGPT também foi usado por golpistas

O ChatGPT, talvez o nome mais famoso nesta onda da inteligência artificial generativa, também foi usado para distribuir malware. Em fevereiro de 2023, foi revelado que golpistas estavam usando a marca para infectar dispositivos Windows e Android e roubar dados de cartão de crédito.

Em maio, a Meta afirmou ter bloqueado mais de 1 mil URLs maliciosas que ofereciam ferramentas falsas, que se passavam pelo ChatGPT. Segundo a empresa, a origem desses ataques também era o Vietnã.

Com informações: The Wall Street Journal, The Verge, Google
Google processa golpistas que usam Bard falso para infectar computadores

Google processa golpistas que usam Bard falso para infectar computadores
Fonte: Tecnoblog

Mais segurança pode significar menos senhas (ou senha nenhuma)

10 de novembro de 2023

Mais segurança pode significar menos senhas (ou senha nenhuma)

A senha é um dos elementos mais básicos de nossa vida on-line, e da própria computação pessoal. Está presente há décadas: desde o ano do começo da década de 1960, para ser mais preciso.

As chaves de acesso, ou passkeys, podem substituir as senhas tradicionais (Imagem: Vitor Pádua / Tecnoblog)

Havia no MIT um computador chamado de Compatible Time-Sharing System (CTSS). Essa máquina foi a precursora de algumas das funcionalidades mais importantes da computação, como o e-mail e o compartilhamento de arquivos.

Uma vez que vários pesquisadores utilizavam o CTSS, era necessário assegurar a privacidade dos arquivos de cada um. Foi nesse contexto que surgiu a senha. Já na época, a solução pareceu óbvia, além de relativamente fácil de implementar. A partir daí, ela se tornou a forma mais difundida de autenticação nos computadores.

Estamos em 2023, no entanto, e muita coisa mudou. Os avanços em segurança da informação foram muitos, mas, quando se fala de senhas, vulnerabilidades sempre estão presentes. Vazamentos ocorrem com frequência, além de golpes para roubo de dados, como o famoso phishing.

Assim, por mais estranho que possa soar, o próximo capítulo da história da autenticação pode ser uma guinada para longe das senhas.

Passkeys entram em cena

As chaves de acesso, ou passkeys, no original, são uma forma de autenticação que vem ganhando mais espaço em plataformas do Google, Apple e Microsoft. Com elas, você não precisa de uma senha para acessar suas contas.

O processo é semelhante ao desbloqueio do celular. Ao invés da senha alfanumérica, você poderá utilizar a biometria facial ou impressão digital para fazer o login em algum serviço. Outros meios de validar sua identidade podem ser o PIN do Windows Hello e o padrão geométrico do celular.

O Google já liberou a funcionalidade para usuários já ativos, mas a oferece como padrão para novas contas. A empresa afirma que as passkeys são 40% mais rápidas do que as senhas tradicionais. Além de mais seguras.

Isso porque ficam armazenadas nos dispositivos em si, como uma chave criptográfica privada. Quando o usuário cadastra uma passkey, outra chave correspondente — a chave pública — é enviada ao serviço em questão. A relação entre ambas é a seguinte, de acordo com o blog de segurança do Google:

Quando você faz login, pedimos ao seu dispositivo que assine um desafio exclusivo com a chave privada. Seu dispositivo só fará isso se você aprovar, o que requer o desbloqueio do dispositivo. Em seguida, verificamos a assinatura com sua chave pública.

Não há necessidade de memorizar uma senha para logar, portanto. E, se não há senha cadastrada, não há senha que agentes maliciosos possam roubar. Sem senhas, não há vazamento de senhas.

É má notícia também para golpistas que praticam o phishing, criando sites falsos que se parecem com os de serviços verdadeiros para coletar dados. Uma vez que não há senha, e a chave pública só fica armazenada num serviço específico — a nuvem do Google, por exemplo —, não há o que ser roubado.

O Google permite até mesmo que a verificação em duas etapas seja pulada com o uso de passkeys. Vale lembrar que muitas pessoas utilizam o SMS como segunda etapa, o que as coloca em risco em caso de SIM swap. Menos uma preocupação.

Senhas por toda parte

No Tecnocast 312, conversamos sobre as passkeys e nossa relação com as senhas. Um ponto destacado é que, ao longo de nossa vida digital, administrar a quantidade de senhas foi se tornando caótico.

O motivo é óbvio para qualquer um que use a internet: tudo exige login e senha. Dessa forma, temos cada vez mais informação para gerir. Isso leva muita gente a criar senhas fracas, ou repetir a mesma senha em diversos serviços, o que não é indicado.

Para ajudar pôr ordem na bagunça, entram em cena os gerenciadores, capazes de gerar senhas fortes e armazená-las. Mas isso não é suficiente: a necessidade por mais segurança traz os aplicativos voltados para verificação em duas etapas para a mesa.

No entanto, ainda há uma parcela significativa de pessoas que não usam essas ferramentas, ou então mantém o SMS como forma básica de autenticação em dois fatores.

Não tem jeito: onde há senha, há vulnerabilidade, por maiores que tenham sido os avanços em segurança da informação nas últimas décadas. Vazamentos ocorrem com frequência, e novos golpes surgem a todo momento.

Por todos esses motivos, fica fácil entender o ímpeto de deixar as senhas para trás. E a adesão das principais empresas de tecnologia tende a tornar a tecnologia mais disseminada nos próximos anos.

O Google não esconde que as passkeys são parte de um projeto. As senhas continuam valendo por agora e certamente continuarão entre nós por muito tempo, afinal, nem todo dispositivo dá suporte às passkeys. Mas isso tende a mudar. O objetivo é claro: construir um futuro sem senhas.
Mais segurança pode significar menos senhas (ou senha nenhuma)

Mais segurança pode significar menos senhas (ou senha nenhuma)
Fonte: Tecnoblog

Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas

9 de novembro de 2023

Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas

Vazamento pode ter afetado até 12 mil pacientes (Imagem: Vitor Pádua/Tecnoblog)

Hackers invadiram os sistemas de uma clínica de cirurgia plástica em Las Vegas (EUA) e tiveram acesso a dados de pacientes, incluindo fotos de clientes nuas. Para chantagear a empresa e as vítimas, os criminosos vazaram algumas das imagens na internet.

O caso está sendo investigado pelo FBI, segundo informações do canal local 8 News Now. Entre as informações a que os hackers estiveram acesso, estão nomes, números de seguro social, datas de nascimento, informações de carteiras de habilitação, dados de contato e histórico médio.

A pior parte, porém, são as fotografias tiradas antes e depois das cirurgias. Elas mostram partes íntimas, como seios. As faces das pacientes não foram protegidas. Além disso, nem as fotos, nem as informações estavam criptografadas. Cerca de 12 mil pacientes podem ter sido afetados.

Clínica e pacientes foram chantageadas

O ataque aconteceu em fevereiro de 2023. Entre março e abril, a clínica enviou cartas aos clientes para avisar sobre a situação. Em julho, imagens das clientes foram publicadas na internet, junto a nomes completos, endereços, e-mails e prontuário médico.

Na página, os hackers diziam que os médicos responsáveis pela clínica estavam ignorando a situação. “É preciso considerar que o número de clientes é enorme e advogados venceriam facilmente os processos”, ameaçavam os criminosos.

Os invasores também chantagearam as vítimas. Uma delas recebeu um contato, exigindo um pagamento. Como ela se recusou, as fotos foram enviadas para amigos, colegas e vizinhos. O mesmo aconteceu com outra paciente. Segundo ela, os hackers pediram US$ 800 para não vazar as imagens.

FBI diz que cirurgia plástica é o alvo da vez

De acordo com a investigação do 8 News Now, clínicas de cirurgia plástica e pacientes estão se tornando alvos prediletos de cibercriminosos. O FBI chegou até mesmo a emitir um alerta sobre a questão.

Para chegar aos dados, os agentes mal-intencionados usam engenharia social. Eles se passam por funcionários de uma empresa de tecnologia da informação, até conseguir que alguém da clínica passe dados de login e senhas.

Pacientes processam clínica

Segundo a 8 News Now, cerca de dez clientes processaram a clínica, alegando que ela não fez o suficiente para proteger suas informações privadas e pessoais.

Quatro das vítimas falaram com a reportagem. Elas fizeram procedimentos diferentes, com valores que vão de US$ 7 mil a US$ 30 mil. As pacientes estavam satisfeitas com os procedimentos, mas o ataque hacker transformou tudo em um pesadelo.

“Nós procuramos um lugar que parecia seguro”, disse uma das vítimas. “Pensamos que ele ia nos proteger. Pagamos muito dinheiro e olha só o que aconteceu.”

“Eu não quero mais sair de casa. Não quero mais falar com ninguém”, diz outra paciente.

Com informações: 8 News Now, Bitdefender
Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas

Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas
Fonte: Tecnoblog

Flipper Zero consegue travar iPhone por causa do Bluetooth

3 de novembro de 2023

Flipper Zero consegue travar iPhone por causa do Bluetooth

Flipper Zero (Imagem: Divulgação / Flipper Zero)

O Flipper Zero é um aparelhinho pequeno com diversos tipos de comunicações sem fio, que pode ser usado para diversos fins. Um deles, descoberto recentemente, pode se tornar uma dor de cabeça para quem tem iPhone. O gadget consegue travar o smartphone da Apple usando apenas o Bluetooth.

O caso foi relatado pelo pesquisador de segurança Jeroen van der Ham. Enquanto ia de trem para o trabalho, seu iPhone passou a exibir pop-ups em intervalos de alguns minutos, até reiniciar. Nem mesmo o Modo de Bloqueio, uma proteção extrema desenvolvida pela Apple, resolveu o problema.

Flipper Zero (Imagem: Reprodução / Flipper Zero)

Durante a volta para casa, isso aconteceu de novo. O pesquisador reparou que a mesma coisa acontecia com os iPhones de passageiros próximos a ele. Com um pouco mais de observação, chegou ao “culpado”: uma pessoa com Flipper Zero estava disparando os pop-ups.

Aparelho “imita” acessórios do iPhone

O Flipper Zero estava com um firmware customizado que dava a ele a capacidade de enviar alertas usando Bluetooth Low Energy (BLE), como se fosse outro produto Apple tentando se conectar — uma Apple TV, AirPods ou outros aparelhos do tipo.

Example of ‘DDOS: pic.twitter.com/5FGhK7QYoG— Techryptic, Ph.D. (@tech) September 4, 2023

O problema só afeta iPhones e iPads com iOS 17 ou iPadOS 17. A versão 16 do sistema operacional não tem esse tipo de problema. O iOS 17.1 não inclui nenhuma correção para a brecha.

A falha veio a público na quinta-feira (2), em uma reportagem do site Ars Technica, que falou com van der Ham. Mesmo assim, não é o primeiro relato do tipo.

Android e Windows também são vulneráveis

No início de setembro, o TechCrunch noticiou que iPhones estavam sujeitos a pop-ups enviados por Bluetooth. Em outubro, o Bleeping Computer mostrou que aparelhos Android e Windows podiam receber alertas usando o mesmo protocolo de comunicação.

Enquanto as correções não chegam, há algumas formas de escapar disso, caso você seja vítima:

iPhone ou iPad: desligue o Bluetooth.

Android: desligue o Nearby Share (também chamado Compartilhar por Proximidade).

Windows: desligue o Emparelhamento Rápido por Bluetooth.

Flipper Zero foi proibido pela Anatel

O Flipper Zero é um pequeno aparelho com tela de 1,4 polegadas, similar a um Tamagotchi. Ele tem uma gama bem variada de conexões sem fio, como NFC, RFID, infravermelho e Bluetooth, entre outras.

Lançado em 2020, ele ganhou notoriedade no final de 2022 no TikTok, com várias demonstrações em que abria portas de carro e garagens. Em testes, porém, ele se mostrou menos poderoso.

Mesmo assim, isso foi suficiente para as autoridades agirem. No Brasil, a Agência Nacional de Telecomunicações (Anatel) proibiu o aparelho, impedindo a importação.

Com informações: The Verge, Bleeping Computer, TechCrunch e Ars Technica
Flipper Zero consegue travar iPhone por causa do Bluetooth

Flipper Zero consegue travar iPhone por causa do Bluetooth
Fonte: Tecnoblog

Como saber se seus dados de e-mail ou senha foram vazados na internet

2 de novembro de 2023

Como saber se seus dados de e-mail ou senha foram vazados na internet

Imagem: Vitor Pádua/Tecnoblog

Para saber se seus dados de senha e e-mail foram vazados você pode acessar o site “Have I Been Pwned?“. A ferramenta mostra em quais sites houve vazamento de dados pessoais e indica se sua senha, e-mail, números de telefone e até mesmo geolocalização foram expostas na internet.

Se você usa o gerenciador de senhas do Google também é possível fazer um check-up de suas senhas em uma das ferramentas disponibilizadas pelo Google. Dessa forma, é possível fazer a troca para não correr o risco de ter a conta invadida. Saiba mais detalhes a seguir.

Índice1. Acesse o site “Have I Been Pwned?”2. Digite seu e-mail para saber quais dados foram vazados3. Veja em quais sites aconteceram os vazamentos de dadosPosso usar outro site para saber se meus dados foram vazados?O que fazer caso minha senha tenha aparecido em um vazamento de dados?

1. Acesse o site “Have I Been Pwned?”

Para verificar se seu e-mail foi vazado na internet junto de outros dados, acesse o site https://haveibeenpwned.com.

2. Digite seu e-mail para saber quais dados foram vazados

Digite seu e-mail no campo principal que aparece no site e clique em “pwned?“. O site pesquisará por vazamentos com esse endereço e informará se a senha e e-mail foram vazados junto de outros dados.

3. Veja em quais sites aconteceram os vazamentos de dados

Caso tenha ocorrido algum vazamento relacionado ao endereço de e-mail, o site mostrará a mensagem “Oh no — pwned!” e listará as ocorrências. Role a página para conferir as exposições e se sua senha e outros dados apareceram no vazamento.

Na imagem acima, por exemplo, meu e-mail está atrelado a um vazamento do Canva, o qual também comprometeu minha senha, nome de usuário e dados geográficos.

Com essa informação, você pode saber qual a senha foi vazada para evitá-la em outras plataformas, além de trocar a combinação de acesso na própria plataforma.

Posso usar outro site para saber se meus dados foram vazados?

Sim. Você pode recorrer a outros sites para saber se seus dados foram vazados, como o gerenciador de senhas do Google, que faz o checkup dos dados salvos para informar o usuário em caso de senhas vazadas.

O 1Password, LastPass e outros gerenciadores de senha também têm recursos semelhantes embutidos no serviço, para monitorar e informar sobre vazamentos de dados. Contudo, gerenciadores de senha costumam ser pagos.

O que fazer caso minha senha tenha aparecido em um vazamento de dados?

Se sua senha apareceu em algum vazamento de dados, a primeira recomendação é trocar a combinação e ativar a verificação em duas etapas. O WhatsApp e o e-mail são as principais portas de entrada para aplicar outros golpes. Confira outras recomendações para se proteger em situações de vazamento de dados pessoais.
Como saber se seus dados de e-mail ou senha foram vazados na internet

Como saber se seus dados de e-mail ou senha foram vazados na internet
Fonte: Tecnoblog

« First ‹ Previous 9 101112 13 Next ›Last »

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Category: Antivírus e Segurança