Category: hacker

Hacker suspeito de vazamento da Ticketmaster é preso

Hacker suspeito de vazamento da Ticketmaster é preso

Ticketmaster comunicou incidente a autoridades em maio de 2024 (Imagem: Giovanni Santa Rosa / Tecnoblog)

Autoridades canadenses prenderam um homem suspeito de roubar informações de cerca de 165 empresas, como Ticketmaster, AT&T e Santander. Todas elas eram clientes do provedor de computação em nuvem e análise de dados Snowflake.

Segundo o Departamento de Justiça do Canadá, o suspeito se chama Alexander “Connor” Moucka e foi detido no dia 30 de outubro, com seu caso sendo adiado para esta terça-feira (dia 05/11). A prisão foi solicitada pelo governo dos Estados Unidos, mas as informações do processo de extradição são confidenciais.

Ticketmaster, Santander e AT&T estão entre vítimas

A produtora de eventos Live Nation, dona da Ticketmaster, revelou em maio de 2024 que havia sofrido um grande vazamento de dados. Dias antes, informações pessoais e financeiras de consumidores foram colocadas à venda em um fórum para hackers.

Este era apenas o começo. Nos meses seguintes, vieram à tona vazamentos envolvendo AT&T, Santander (nas subsidiárias de Chile, Espanha e Uruguai), Advanced Auto Parts e mais empresas.

Funcionários das empresas tiveram senhas roubadas por malware (Imagem: Vitor Pádua/Tecnoblog)

O ponto em comum a todos estes incidentes era o provedor de computação em nuvem Snowflake. Para obter acesso, os atacantes usaram malware para roubar senhas de funcionários das empresas. Como a prestadora de serviços não exigia que seus clientes usassem autenticação em dois fatores, os hackers puderam entrar nos sistemas usando apenas as senhas obtidas.

Segundo a Mandiant, subsidiária do Google especializada em cibersegurança, os responsáveis pela ação conseguiram roubar dados de clientes de 165 empresas. As motivações da ação eram financeiras.

Em um comunicado, o Google afirmou que os dois responsáveis por esta campanha de invasões estão agora presos. Além de Moucka, o outro hacker acusado de ser a mente por trás do ataque é John Binns. Ele foi preso por autoridades turcas em maio de 2024.

Com informações: The Verge, TechCrunch
Hacker suspeito de vazamento da Ticketmaster é preso

Hacker suspeito de vazamento da Ticketmaster é preso
Fonte: Tecnoblog

Hacker rouba 33 milhões de números de telefone de usuários do Authy

Hacker rouba 33 milhões de números de telefone de usuários do Authy

Usuários do Authy devem tomar cuidado com possíveis tentativas de golpe (Imagem: Vitor Pádua / Tecnoblog)

A Twilio sofreu um ataque hacker e números de telefone de 33 milhões de usuários do aplicativo Authy foram roubados. As primeiras notícias da falha de segurança surgiram na semana passada e foram confirmadas pela empresa nesta quinta-feira (4).

Segundo um porta-voz da Twilio, agentes mal-intencionados identificaram dados associados a contas do app, incluindo números de telefone, a partir de um endpoint sem autenticação. A companhia tomou medidas para barrar requisições não autorizadas.

Authy e outros apps geram códigos de autenticação no celular (Imagem: Reprodução/Authy)

O Authy é um aplicativo para gerar códigos usados na autenticação de dois fatores, que servem para garantir que a pessoa que sabe a senha é realmente a dona daquela conta. A Twilio, responsável pelo app, diz não ter encontrado evidências de acessos a seus sistemas ou outros dados sensíveis.

Números do Authy podem ser usados em golpes

Mesmo que as contas não tenham sido comprometidas e os códigos estejam a salvo, como parece ser o caso, os números de telefone podem ser usados em golpes. Como se sabe que estas pessoas usam o Authy, criminosos podem mandar mensagens fingindo ser o aplicativo ou a Twilio.

Outra possibilidade: o golpista envia uma mensagem se passando por um serviço popular (Gmail ou Facebook, por exemplo), inventa um problema no Authy (afinal, ele sabe que a vítima usa) e pede para o usuário resetar o 2FA, mas indica um link malicioso.

A Twilio sabe disso. Por isso, a empresa pede que os usuários fiquem atentos e tomem cuidado com tentativas de phishing por SMS ou aplicativos de mensagem. Em seu site, a empresa também recomenda atualizar os aplicativos de Android e iOS para receber os updates de segurança mais recentes.

Esta não é a primeira vez que o Authy passa por um incidente de cibersegurança. Em 2022, hackers conseguiram acessar 93 contas de usuários do serviço e registrar novos dispositivos, ganhando acesso aos códigos de 2FA.

Com informações: TechCrunch, 9to5Mac
Hacker rouba 33 milhões de números de telefone de usuários do Authy

Hacker rouba 33 milhões de números de telefone de usuários do Authy
Fonte: Tecnoblog

Hyundai confirma que sofreu invasão na Europa, mas não fala de ransomware

Hyundai confirma que sofreu invasão na Europa, mas não fala de ransomware

Hyundai sofreu ataque no início de janeiro, mas só agora se pronunciou sobre o caso (Imagem: Vitor Pádua/Tecnoblog)

A Hyundai confirmou nesta semana que foi vítima de uma invasão aos seus sitemas. O alvo foi a divisão da montadora na Europa, cuja sede está na cidade de Berlim. O ataque aconteceu no início de janeiro, mas na época a Hyundai não se pronunciou sobre a causa dos problemas em seu site.

De acordo com o BleepingComputer, o primeiro a relatar o caso, uma imagem dos dados sequestrados indica que os cibercriminosos tiveram acesso aos arquivos dos departamentos jurídicos, vendas, recursos humanos, contabilidade, TI e gerências. As informações roubadas incluem dados da KIA Europa — a KIA é de propriedade da Hyundai.

O ataque é atribuído ao grupo Black Basta, cujas atuações começaram por volta de 2022. O grupo foi responsável pelos ataques ransomware contra a Biblioteca Pública de Toronto, a associação de dentistas dos Estados Unidos e a editora Yellow Pages Canada. É especulado que o grupo já recebeu US$ 100 milhões (R$ 499 milhões) desde o início de suas operações.

Hyundai sofre terceiro ataque em menos de um ano

Hyundai passa pelo terceiro ciberataque em menos de um ano (Imagem: Facebook/Hyundai)

Este é o terceiro ciberataque sofrido pela Hyundai desde abril de 2023, quando dados de clientes da marca na França e Itália foram roubados — incluindo de pessoas que agendaram test drive com a fabricante. Nesse caso, os cibercriminosos roubaram endereços de email, residência, número de telefone e chassi dos veículos. Nenhum dado de pagamento foi vazado.

Já neste ano, também no início de janeiro, a conta da Hyundai MEA, que atende os públicos da África e Oriente Médio, no Twitter/X foi invadida. Os hackers usaram a conta para se passar pela Overworld, um jogo de RPG, e divulgar um golpe de criptomoedas.

Com informações: TechRadar e BleepingComputer
Hyundai confirma que sofreu invasão na Europa, mas não fala de ransomware

Hyundai confirma que sofreu invasão na Europa, mas não fala de ransomware
Fonte: Tecnoblog

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Sequestro de BGP ativou sistemas de proteção e derrubou rotas da Orange Espanha (Imagem: JJ Ying/Unsplash)

A Orange Espanha, segunda maior operadora do país, ficou sem sinal na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. A ação só foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.

O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.

O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central. A título de curiosidade, quem faz isso aqui na América Latina e no Caribe é o LACNIC.

Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.

Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.

A senha da conta RIPE era… “ripeadmin”

Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.

Senha da Orange Espanha no sistema da RIPE NCC era “ripeadmin” (Imagem ilustrativa: TheDigitalWay/Flickr)

A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.

No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.

Snow ainda fez piada no X. Em um post, ela mencionou a conta da Orange Espanha e disse “Eu consertei a segurança da sua conta de administrador da RIPE. Mande uma mensagem para eu passar as novas credenciais”.

A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.

Com informações: Ars Technica, Bleeping Computer
Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço
Fonte: Tecnoblog