Mais um ano está ficando para trás e diversos acontecimentos relacionados à tecnologia marcam 2014, mas as falhas de segurança roubaram a cena, diversos casos de roubo de dados, vazamentos de informações aconteceram este ano e pensando nisso resolvemos listar as falhas de segurança mais tenebrosas que incomodaram milhões de usuários e companhias. Confira abaixo.
Heartbleed
O Heartbleed é um sério candidato a “falha do ano”. O bug na popular biblioteca de criptografia chamada OpenSSL afetou mais de três mil servidores em todo o mundo e foi utilizado pela própria agência de espionagem americana, NSA para roubar informações da população. Através dessa falha foi permitido que informações sigilosas de usuários e empresas armazenadas em servidores web fossem interceptadas por crackers. Sites como Yahoo!, Facebook,Google, Pinterest, Dropbox e SoundCloud sofreram com esse ataque. O mais interessante é que de acordo com a a desenvolvedora do software a falha já existia desde 2011, mas ninguém sabia que ela estava lá, nem mesmo os desenvolvedores. O primeiro a descobrir essa falha foi o pesquisador do Google, Neel Mehta, que verificou essa brecha de segurança poderia garantir acesso a dados privados
Enumerar quantos hackers, crackers e afins se beneficiaram com essa falha é praticamente impossível, mas alguns estão aparecendo, recentemente Stephen Solis-Reyes um graduado de 19 anos de uma escola em Londres foi acusado de invadir o site Canada Revenue Agency e roubar mais de 900 números do seguro social, além dessa acusação o jovem também está envolvido com outros ataques fora do Canadá, tudo isso graças à falha Heartbleed.
Stephen Solis-Reyes
Falha no iCloud
Os fanáticos por celebridades devem ter dado altos pulos de alegria com a falha do iCloud. Em setembro noticiamos que a nuvem de dados da Apple sofreu uma grande falha que possibilitou a divulgação de fotos íntimas de diversas famosas do mundo hollywoodiano como Jennifer Lawrence, Kate Upton, Avril Lavigne, Mary Elizabeth Wintead, entre outras.
No inicio do vazamento a Apple fez de tudo para blindar o serviço afirmando que quando souberam do roubo das fotos ficaram indignados e imediatamente mobilizaram engenheiros para descobrir a origem do problema. Mesmo com esse pronunciamento os indícios de falha foram muito grandes, segundo uma reportagem do “Daily Dot” que teve acesso a uma série de e-mails trocados entre o desenvolvedor de software Ibrahim Balic e a Apple, onde o desenvolvedor alertava a empresa sobre o método que seria usado pelos cibercriminosos nos ataques, os e-mails foram enviados para a Apple seis meses antes do ataque.
Em outro momento o site “The Next Web”, reportou um script que se aproveitava de uma vulnerabilidade do aplicativo Find my Phone, que é usado para encontrar dispositivos perdidos. O código utiliza o velho e conhecido “força bruta” para testar uma sequencia de palavras e frases para a adivinhar a senha de uma conta.
Vazamento de senhas do Gmail
Depois do Heartbleed o Google começou a implantar o chamado “Project Zero” que visa combater as falhas de segurança na internet, criando uma subdivisão com uma equipe especializada em monitoramento de segurança, que mantém em alerta não só o motor de busca, mas toda a internet.
Mesmo com esse discurso altamente “poético” o Google sofreu uma grande falha alguns meses depois do Heartbleed. Noticiamos em setembro que quase cinco milhões de nomes de usuários e senhas foram postados em um fórum russo de Bitcoins. O impacto não foi tão grandioso porque a maioria dos dados divulgados incluem registros de três anos atrás. Isso significa que muitos dos que tiveram seus dados divulgados talvez já tenham mudado suas credenciais durante esse período.
O Google se pronunciou dizendo que os vazamentos não são resultados de uma violação no sistema, mas de uma combinação de outras fontes, e ressaltou que menos de 2% das combinações estavam atualizadas. Além do pronunciamento o Google passou a incluir uma nova seção de segurança, intitulada “Proteger sua conta”, permitindo que os usuários possam atualizar as definições de segurança de forma mais rápida.
Em meio a esse ocorrido com o Google o Worpress se antecipou e redefiniu 100 mil contas. A Automattic – empresa responsável pelo serviço – decidiu se prevenir em meio a onda de ataques.
Falha grave no Whattsapp
2014 está marcado como o ano em que o Whattsapp caiu nas graças de grande parte do público, tornando-se uma mania mundial. E claro que empresas maiores não poderiam deixar de por as “garras no aplicativo”.O Facebook foi a que consegiu dar o maior ataque ao adquirir o Whattsapp por US$ 19 bilhões. Mas nem tudo foi felicidade para o aplicativo de mensagens.
O Whattsapp também esteve em pauta, quando o Thijs Alkemade, estudante de ciência da computação e matemática da Universidade de Utrecht na Holanda descobriu uma falha na criptografia do aplicativo. Segundo o estudante uma mesma chave é usada para criptografar os fluxos de entrada e saída entre o cliente e o servidor do aplicativo. Possibilitando que um cracker possa intercepta-las. Além dessa falha pesquisadores da Universidade de New Haven descobriram uma falha na qual os invasores conseguem facilmente desvendar a localização exata de uma vítima. A falha ocorre no sistema de compartilhamento de posição do aplicativo que fecha uma comunicação com o Google Maps sem proteger os dados.
A transferência dessa informação é feita por HTTP e HTTPS, que ao decorrer da transferência fica desprotegida, permitindo que o invasor por intermédio do monitoramento de uma rede Wi-Fi, por exemplo, consiga obter os dados.
Além das falhas de segurança do Whattsapp, neste ano tivemos alguns exemplos de instabilidade sofridos pelo aplicativo, chegando a ficar fora do ar em alguns momentos. Em alguns casos a equipe do Whattsapp acusou a sobrecarga dos servidores como o principal motivo para os problemas de instabilidade sofridos pelo aplicativo, claro que com a aquisição do Facebook esses problemas aos poucos vão ser neutralizados.
Site do ebay é atacado
Nem um dos maiores e-commerce do mundo ficou de fora dos ataques cibernéticos neste ano. Em maio o eBay anunciou que sofreu uma invasão de crackers e pediu para que todos os usuários cadastrados trocassem a senha por motivos de segurança.
O eBay ressaltou que somente a base de dados cadastrais foram invadidas, mas que nenhuma informação financeira foi divulgada. Segundo a empresa uma “extensa inspeção legista” mostrou que nenhum dado financeiro dos clientes do PayPay foi divulgado. O PayPay possui a política que estabelece que de forma alguma informações financeiras possam ser compartilhadas com o comerciante.
Dados do DropBox foram roubados
Além do Heartbleed outras falhas perseguiram o serviço de armazenamento online DropBox. Em Outubro o serviço foi atacado por crackers que roubaram sete milhões de dados de acesso. Como noticiamos aqui no Hardware o site Reddit recebeu alerta de alguns usuários que afirmaram ter postado arquivos contendo mais de 400 nomes de usuário e suas respectivas senhas. O DropBox se manifestou dizendo que os “nomes de usuário e senha mencionados foram roubados de serviços não relacionados ao DropBox”. Você acredita?
Além desse caso mais uma bizarrice aconteceu envolvendo o DropBox. Um bug encontrado em algumas versões mais antigas do software ocasionou a exclusão de arquivos de diversos usuários, a empresa tentou remediar a situação oferecendo uma conta do DropBox Pro com 1 TiB de armazenamento para os que sofreram com o bug, confira mais detalhes clicando aqui.
Sony Pictures é invadida
Não poderíamos de encerrar essa lista sem mencionar o caso mais recente/bombástico de invasão contra os dados de alguma empresa. A Sony é figura tarimbada dos hackers e crackers, os serviços da empresa já sofreram ataques diversas vezes. A Playstation Network, por exemplo, já foi alvo de ataques dezenas e dezenas de vezes. No mais recente deles o serviço foi alvo de um ataque DDoS (Distributed Denial of Service), ou ataque de distribuído de negação de serviço, que consiste em encher a rede com requisições para os servidores com o intuito de sobrecarrega-los.
Mas agora os ataques contra a Sony tomaram proporções estratosféricas devido ao mais recente ataque, onde a empresa foi hackeada e ameaçada devido ao filme “A entrevista” que é uma paródia sobre o regime totalitário da Coreia do Norte. Mas até ai tudo “normal” mais um ataque que se junta aos milhares e milhares encontrados durante todo o ano, é ai que você se engana. De acordo com o FBI as ferramentas utilizadas na invasão ao sistema da Sony são similares às empregadas em um ataque realizado em março do ano passado contra o sistema bancário e veículos de mídia da Coreia do Sul. Indicando que o ataque pode ter partido do próprio governo do Coreia do Note em represália ao filme da Sony.
Poster do filme “A entrevista”
Mas será que a Coréia conseguiria realizar um ataque dessa magnitude sem ajuda? Boatos apontam que a Coréia fez o ataque com a ajuda da China. Segundo um oficial dos EUA que não quis se identificar disse a agência de notícias Reuters que as conclusões do ataque serão reveladas em breve de forma oficial, através de uma nota.
Devido a esse ataque a Sony está perdendo, perdendo muito dinheiro. Até agora com o cancelamento do filme a empresa já perdeu quase US$ 75 milhões, deste valor US$ 44 milhões é relacionado ao valor gasto para produzir o longa e US$ 30 milhões foram desperdiçados na promoção do filme.
Fora as informações sigilosas que vieram de “brinde” com este ataque. Como um possível reboot do Homem Aranha, uma união entre as franquias “Anjos da Lei” e “Homens de preto” e até e-mails onde a atriz Agelina Jolie é chamada de mimada e sem talento pelo produtor Scott Rudin. Esse ataque a Sony vai render e muito ainda.
Listar todos os acontecimentos envolvendo falhas de segurança durante 2014 é praticamente impossível são diversos casos, um mais “exótico” que o outro. Além dos listados no artigo você lembra outros casos que ocorrem em 2014? Deixe seu comentário abaixo.
Veja também
Sobre o Autor
Deixe seu comentário