Breaking News: Microsoft Pwned
O site principal da Microsoft Brasil acaba de ser pwnado por um Hacker com iniciais TG. É algo muito,muito raro, há casos de sites periféricos da empresa que já foram invadidos, mas no passado recente o histórico de segurança do IIS até então era excelente.
Ainda não temos informações sobre a invasão, qual a técnica utilizada e quantos fiofós serão desfigurados amanhã, em uma reunião que eu pagaria para não participar.
Aguardemos pois.
Dica do Arthur Medeiros via Twitter
Curto (e surpreendente) relato de quem tentou se descadastrar de alguns sites e redes sociais
Essa onda de invasões, ataques DDoS, vazamento de senhas… É para se preocupar. Principalmente com os vazamentos, e mais ainda se você tem o (péssimo) hábito de usar uma mesma senha em todos os sites onde possui cadastro.
Desse mal, eu não sofro. Mas, até mesmo pelo trabalho que desempenho, tenho cadastro num punhado de sites. Uns vingam e passam a integrar a minha rotina profissional e/ou pessoal, outros, a maioria, são usados apenas para fins de teste e, depois, esquecidos para sempre. Ou melhor, esquecidos por mim; eles continuam com meu nome, email e senha — e quem garante que essa está criptografada?
No último fim de semana me propus um desafio que, além de me resguardar, daria um bom assunto para discutir aqui. Aproveitando o gancho das mensagens de boas-vindas que a maioria esmagadora de sites envia após o cadastro bem sucedido, disparei um “welcome” na busca do meu email, o que me retornou, com exceção de algumas mensagens fora de contexto, uma lista quase precisa dos sites onde me cadastrei nos últimos anos.
Depois disso, o trabalho foi entrar em cada um deles, fazer login (de muitos esqueci a senha, o que me forçou a resetá-las) e, então, excluir as contas daqueles que não uso. Fiz o procedimento com exatos 19 sites; o resultado você confere depois do clique.
Modificações não autorizadas em plugins do WordPress são detectadas
W3 Total Cache, AddThis e WPtouch. Se você mantém um blog com WordPress, pode estar usando um ou alguns desses que figuram entre os plugins mais populares da plataforma — o primeiro é um sistema de cache, o segundo acrescenta botões de redes sociais aos posts e o terceiro, cria um layout amigável para dispositivos móveis.
Ontem, descobriu-se uma série de atividades suspeitas no repositório oficial de plugins do WordPress dentro dos três mencionados acima. Análises preliminares constataram que as modificações não foram feitas pelos autores dos plugins, mas sim por gente não autorizada e, o que é pior, elas adicionaram backdoors bem disfarçados aos códigos.
LulzSec: operação #AntiSec com os Anonymous e derrubada de sites do governo brasileiro
O perfil @LulzSecBrazil, auto-proclamado versão brasileira do @LulzSec, grupo anônimo internacional que vem causando dores de cabeça a vários governos e multinacionais, prometeu, na época do seu surgimento (sábado passado, para ser mais exato), derrubar o site do governo brasileiro, o Brasil.gov.br.
A princípio a ideia era fazê-lo no domingo, mas não deu certo. Depois daquele dia, por conta de declarações como essa, chegou-se a pensar em blefe. Mas, nessa madrugada, enfim a vítima caiu e, junto dela, também o site da presidência. Ambos ficaram fora do ar por cerca de uma hora, pouco tempo para causar estragos (sem contar que os próprios sites em si não são exatamente críticos para a soberania nacional), mas foi o suficiente para a variação brasileira chamar a atenção do LulzSec original (!).
Falha no Dropbox deixa arquivos de usuários expostos por quatro horas
Há pouco tempo o Dropbox foi acusado de mentir aos seus usuários sobre encriptação de dados. Ontem, o serviço de armazenamento na nuvem figurou em um segundo vexame envolvendo segurança. Os arquivos de seus usuários ficaram, durante quatro horas, expostos a quem quisesse acessá-los pela web. A falha fez com que as pastas contendo os arquivos pudessem ser abertas mediante a entrada de qualquer senha aleatória.
LulzSec publica manifesto e inspira grupos ao redor do mundo — inclusive no Brasil
Celebrando o milésimo tweet, o Lulz Security publicou seu manifesto — ou algo próximo disso. Depois de derrubar diversos servidores de games e o site da CIA, o objetivo continua inalterado, mas os efeitos colaterais dessa série de ações se tornou mais delineado.
A mensagem reforça o mantra do grupo de que tudo o que fazem é pelo “lulz”, pela diversão, mas dá uma outra perspectiva para as constantes invasões e divulgações de senhas e dados sensíveis, a de que estamos todos à mercê de crackers, de que na Internet não há, de fato, segurança.
