Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Segurança

De acordo com uma pesquisa da Kaspersky Lab, 7.176 das aproximadamente 32.000 redes Wi-Fi públicas disponíveis nas cidades-sede da Copa do Mundo não criptografam o tráfego – tornando-os, potencialmente, inseguros para uso dos visitantes destes locais. Por isso, esses números sugerem que os torcedores cuidem de seus dados pessoais, especialmente ao usar conexões Wi-Fi abertas em locais próximos jogos.

Eventos internacionais sempre concentram muitas pessoas conectadas a redes para postar atualizações, ficar em contato com as pessoas queridas e compartilhar sua diversão com os amigos. Porém, ao mesmo tempo, essas redes podem ser usadas para transferir dinheiro e outras informações valiosas pela Internet. E essas informações podem ser interceptadas por outras pessoas – não necessariamente criminosos – e usadas com outros propósitos.

As conclusões da Kaspersky Lab são baseadas em uma análise dos pontos de acesso de redes Wi-Fi públicas em 11 cidades-sede da Copa do Mundo: Saransk, Samara, Nizhny Novgorod, Kazan, Volgogrado, Moscou, Ecaterinburgo, Sochi, Rostov, Kaliningrado e São Petersburgo. Os resultados mostram que, até o momento, nem todos os pontos de acesso sem fio contam com criptografia e algoritmos de autenticação, recursos essenciais para a segurança das redes Wi-Fi. Assim, os hackers só precisam estar perto de um ponto de acesso para interceptar o tráfego de rede e obter informações confidenciais de usuários desinformados ou despreparados.

As três cidades com maior porcentagem de redes Wi-Fi não confiáveis são São Petersburgo (37%), Kaliningrado (35%) e Rostov (32%). Por outro lado, os lugares mais seguros são as cidades relativamente pequenas, como Saransk (apenas 10% dos pontos de acesso de Wi-Fi são abertos) e Samara (17% dos pontos de acesso de Wi-Fi são abertos). Quase dois terços de todas as redes Wi-Fi públicas nesses locais utiliza a família de protocolos WPA/WPA2 para a criptografia do tráfego. Esse protocolo é considerado um dos mais seguros para a utilização do Wi-Fi.

Ainda devemos observar que mesmo as redes WPA/WPA2 confiáveis podem permitir ataques de força bruta e de dicionários, assim como ataques de reinstalação de chaves. Ou seja, elas não são absolutamente seguras.

“A falta de criptografia do tráfego, associada a eventos de grande escala, como a Copa do Mundo, torna as redes Wi-Fi um alvo para criminosos que buscam acesso fácil a dados de usuários. Embora dois terços de todos os pontos de acesso nas cidades-sede dos jogos use a criptografia baseada na família de protocolos mais segura (WPA/WPA2), esses pontos não podem ser considerados seguros se a senha estiver disponível para todos. Nossa pesquisa mostra, mais uma vez, que a cibersegurança vai além de determinados aspectos, envolvendo toda a infraestrutura. Foi confirmado que o evento estará protegido, mas os usuários devem saber que, claramente, os pontos de acesso de Wi-Fi públicos nas cidades-sede poderão não ser seguros”, diz Denis Legezo, pesquisador sênior em segurança da Kaspersky Lab.

Se você vai visitar as cidades-sede da Copa do Mundo e pretende usar redes Wi-Fi nesses locais, lembre-se de seguir algumas regras básicas para ajudar a proteger seus dados pessoais:

• Sempre que possível, se conecte através de uma rede virtual privada (VPN, Virtual Private Network). Com a VPN, o tráfego criptografado é transmitido por meio de um túnel protegido, e os criminosos não poderão ler seus dados, mesmo que consigam acessá-los. Por exemplo, a solução de VPN Kaspersky Secure Connection pode ser ativada automaticamente quando uma conexão não é segura.

• Não confie em redes sem proteção por senha ou cujas senhas sejam fáceis de adivinhar ou de descobrir.

• Mesmo que uma rede solicite uma senha forte, você deve continuar alerta. Fraudadores podem descobrir a senha da rede de um café, por exemplo, e criar uma conexão falsa com a mesma senha. Assim, é fácil roubar dados pessoais dos usuários. Só confie em redes cujo nome e senha foram fornecidos por funcionários do estabelecimento.

• Para reforçar sua proteção ao máximo, desative a conexão Wi-Fi quando ela não estiver em uso. Assim, você também economizará bateria. Também recomendamos desativar as conexões automáticas com redes Wi-Fi existentes.

• Se você não está totalmente certo de que a rede sem fio que está usando é segura, mas precisa se conectar à Internet, tente se limitar a ações básicas, como pesquisar informações. Tente não inserir seus dados de login em redes sociais ou serviços de e-mail e, definitivamente, não realize operações em bancos, nem insira dados de cartões em nenhum lugar. Isso evitará que seus dados sigilosos ou suas senhas sejam interceptados e usados posteriormente para fins mal-intencionados.

Totalmente alinhada com esse novo mundo digital, a NCR apresenta soluções no CIAB 2018 que viabilizam o relacionamento entre a indústria financeira e os consumidores conectados que desejam fazer transações de vários canais, de qualquer lugar e a qualquer momento.

Durante o evento, a NCR apresentará todo seu portfolio – hardware, software e serviços -, que a coloca em posição de liderança de mercado, com destaque para as soluções baseadas no conceito de machine learning. A ideia é mostrar como é possível integrar o mundo físico com o digital (figital), também no mercado financeiro.
“As tecnologias e o know how da NCR transformam a conectividade entre empresas e pessoas de forma segura”, explica Marcelo Zuccas, Vice-Presidente de Vendas na América Latina e Caribe e Diretor-Geral do Brasil.
Para garantir a segurança dessas transações, a NCR criou uma suíte de gestão de pagamentos que oferece segurança na prevenção de fraudes em tempo real, podendo ser utilizada por bancos digitais, instituições financeiras tradicionais, adquirentes, empresas de e-commerce, marketplaces bem como todos os players que realizam operações financeiras.

Para Marcelo Zuccas, a oferta de serviços digitais já é um caminho sem volta. “Garantir a segurança nas transações financeiras digitais é a principal preocupação de nossos clientes”, afirma o executivo, lembrando que esse é também o principal receio dos consumidores.

A suíte de gestão de pagamentos da NCR foi desenvolvida para monitorar, orquestrar e proteger as transações financeiras em todos os canais, lidando com quaisquer tipos de fraudes transacionais, sejam elas já conhecidas, em desenvolvimento ou até mesmo emergentes. Para tanto, utiliza tecnologias como machine learning e análise probabilística. Totalmente customizável, pode ser adaptada à necessidade de cada empresa.

Em recente pesquisa sobre os bancos digitais no Brasil, divulgada pela consultoria Cantarino Brasileiro, especializada em marketing e relacionamento para o setor financeiro, dos 1004 brasileiros entrevistados em todas as regiões do País, a segurança dos dados foi considerada um fator determinante tanto para os que já são usuário dos bancos digitais tanto para aqueles que ainda não adotaram a tecnologia.

No estande da empresa será possível conferir a mudança do modelo de negócios causada pelo avanço da digitalização em prol da melhor experiência de uso para o cliente da instituição. A NCR demonstrará novos formatos de atendimento a serem explorados pelo mercado financeiro com a possibilidade de instalação de agências e terminais de autoatendimento em estabelecimentos mais próximos aos usuários.

Todo esse novo conceito será demostrado em um aplicativo de realidade aumentada. Por meio dessa tecnologia será possível visualizar agências bancárias e outros ambientes adaptados às novas exigências do mercado. É possível conhecer terminais de autoatendimento totalmente intuitivos, com design moderno e capazes de realizar todas as transações financeiras desejadas pelo consumidor, assim como o backoffice de sistemas que garantem o funcionamento de tais ambientes. No aplicativo, também é possível customizar o ambiente com o look and feel da instituição financeira.

Outro destaque da NCR durante o CIAB é a tecnologia de Módulos com Depósito Inteligente, permitindo que o cliente deposite dinheiro sem a necessidade de envelopes, sendo que este mesmo dinheiro, a critério do Banco, pode ficar disponível também para o saque, otimizando desta forma o fluxo de abastecimento de numerário com impacto direto na redução de custos com transporte dentre outros.

Para garantir a redução de custos na otimização do fluxo do dinheiro, não só no terminal de autoatendimento, mas também nas Agências e Tesourarias, com possibilidade inclusive de otimizar as rotas de transporte, a NCR possui uma plataforma de software destinada especificamente para a Gestão de Numerário da Instituição Financeira. Esta solução também fará parte do portfólio NCR a ser apresentado durante o CIAB.

No início de fevereiro de 2018, uma pessoa não identificada postou na plataforma GitHub o código-fonte iBoot, que é responsável pelos downloads confiáveis do iOS. O vazamento já é considerado o maior na história da empresa. A divulgação desses dados facilita aos hackers a violação do sistema operacional dos dispositivos Apple. Os resultados da investigação mostraram que estava envolvido no roubo um estagiário, que em 2016 trabalhou no escritório da empresa em Cupertino: ele roubou parte do código por insistência de amigos que trabalhavam com Jailbreak.
O recurso Motherboard informou que cinco amigos obtiveram acesso às informações roubadas. Inicialmente, eles não tinham a intenção de divulgar o código ou usá-lo contra a Apple. No entanto, a situação ficou fora de controle: os dados foram publicados por um amigo de amigos que também teve acesso ao código. Um funcionário não identificado da Apple disse a jornalistas que, supostamente, a empresa já sabia sobre o vazamento antes da publicação na GitHub.
De acordo com fontes anônimas, o código roubado refere-se ao lançamento do iOS 9.3.x em 2015, mas também pode ser usado na 11ª versão do sistema operacional. O código-fonte do iBoot é cuidadosamente protegido e o mais valioso. Os pagamentos por falhas e erros encontrados durante a inicialização atingem os 200 mil dólares, este é o maior gasto relacionado ao programa de busca de vulnerabilidades da Apple.
A Apple exigiu a remoção dos materiais publicados na GitHub, citando a violação da “Lei de direitos autorais na era digital”. A publicação foi removida da plataforma, mas o código conseguiu se espalhar pela Web.
“As ações do agente interno, deliberadas ou espontâneas, implicam não só em prejuízos financeiros, mas também em perdas de reputação à empresa, por isso é necessário proteger o negócio contra tais ameaças. Nos dias de hoje, apenas um conjunto de soluções permitirá garantir a proteção efetiva das informações confidenciais: DLP + Forensic Suite”, – observa Vladimir Prestes, chefe do escritório de representação SearchInform no Brasil.
Vazamento de dados do armazenamento em nuvem do Amazon Web Services S3: exposição de dados de personalidades da mídia
A empresa de marketing Octoly, com sede em Paris, permitiu o vazamento de dados de12 mil blogueiros. Devido a uma configuração incorreta do armazenamento em nuvem pertencente à organização, prejudicando personalidades nas mídias Instagram, Twitter e YouTube. Pessoas que promoviam marcas de cosméticos e jogos de empresas como Dior, Estée Lauder, Lancôme e Blizzard Entertainment.
De acordo com a empresa UpGuard, o armazenamento em nuvem Amazon Web Services S3 no subdomínio “octoly” foi identificado em 4 de janeiro de 2018. Um dos arquivos se tratava de um backup do banco de dados “octoly_production.sql”, contendo todas as informações sobre operações de marketing na Europa e América do Norte. O backup SQL foi removido do armazenamento em 12 de janeiro de 2018, mas planilhas atualizadas regularmente com dados pessoais permaneceram abertas até 1º de fevereiro de 2018.
O incidente ocorrido comprometeu três tipos de dados:
– dados pessoais dos blogueiros: nomes, endereços, números de telefone, endereços de e-mail e datas de aniversário dos blogueiros, conectados aos logins do YouTube e Instagram ou usados para contas do PayPal.
– informações analíticas, cuja divulgação poderia prejudicar as operações comerciais da Octoly.
– dados das empresas-clientes: Dior, Estée Lauder, Lancôme, L’Oreal e Pierre Fabre, Beauty Solutions, Ltd. e Birchbox.
Os especialistas UpGuard acreditam que, de acordo com a escala de risco cibernético, o vazamento de dados da Octoly marcou 760 pontos de um total de 950 pontos.
Vazamento na Swisscom: dados pessoais de 10% da população da Suíça
A operadora de telefonia móvel Swisscom reconheceu que no final do ano passado, os dados pessoais de um em cada dez residentes na Suíça estavam comprometidos.
Em 7 de fevereiro de 2018, a empresa afirmou que os nomes, endereços, números de telefone e datas de nascimento de cerca de 800.000 clientes foram obtidos por uma terceira pessoa através de um parceiro da Swisscom, que estava envolvido na promoção dos serviços da operadora entre clientes já existentes.
O incidente foi identificado durante uma verificação regular. A Swisscom enfatiza que seu sistema não foi comprometido. A empresa também informou sobre uma série de mudanças para o melhoramento da segurança da informação: enrijecimento do controle de acesso, cancelamento de pedidos de informações sobre clientes em grande volume solicitados em uma única vez e introdução de autenticação com dois fatores para o acesso de parceiros aos seus dados.
Roubo de informações sobre colegas por meios já bem conhecidos
Em 15 de fevereiro de 2018, o Departamento de proteção da pesca e da vida selvagem da Califórnia (California Department of Fish and Wildlife) enviou uma mensagem aos seus funcionários sobre o desvio de dados pessoais da organização.
O incidente foi anunciado em 22 de dezembro de 2017. Um ex-funcionário do departamento baixou os dados pessoais de seus colegas e terceirizados que trabalhavam para o departamento sob contrato, para um dispositivo de armazenamento de arquivos portátil pessoal, trazendo-os para fora do perímetro da rede da organização.
Foram roubados, tanto os dados de funcionários do departamento que trabalharam em 2007, 2.300 pessoas, bem como informações pessoais de terceiros contratados que assinaram com o departamento entre 2007 e 2010.
A investigação do incidente está sendo conduzida pela California Highway Patrol (CHP).
Mensageiro instantâneo como instrumento de vazamento
O vazamento de informações do banco de dados Service and Payroll Repository of Kerala (SPARK), contendo dados pessoais de funcionários públicos e pensionistas da Índia, resultou de uma violação do acesso ao subsistema Supplyco Employee Information and Payroll System (SEIPS). Este subsistema contém registros de funcionários, premiações, relatórios de crédito e outros dados pessoais.
A informação sobre o salário de um dos empregados foi compartilhado através do aplicativo WhatsApp, na mensagem havia a comparação dos salários dos funcionários do Departamento de Alimentos da Índia e da empresa Civil Supplies Corporation. O problema foi identificado depois que um assistente de gerência associado ao escritório de fornecimento da cidade de Coulão, apresentou uma reclamação à administração,alegando que informações sobre seu salário foram compartilhadas em um grupo do WhatsApp.