Como mensagens podem ser roubadas no Telegram?

Criptografia dribla justiça americana em 9 casosA força-tarefa da Lava-Jato do Ministério Público Federal (MPF) no Paraná veio a público recentemente informar que as investidas criminosas contra celulares de autoridades de diferentes instituições da República continuam a ocorrer com o claro objetivo de atacar a operação Lava Jato.  
 
A Avast (LSE:AVST), líder em produtos de segurança digital, avalia o cenário e estima diferentes maneiras sobre como o vazamento de dados no Telegram pode ocorrer. De acordo com o Evangelista em Segurança da Avast, Luis Corrons, no caso do atual ministro da justiça, uma das hipóteses é que alguém tenha infectado o telefone de Sergio Moro com um spyware de ferramenta de acesso remoto (RAT). Isto pode acontecer, por exemplo, quando um SMS é enviado para o telefone da vítima, enganando o usuário para clicar em um link que aciona o download do spyware em segundo plano.
 
Outra suposição é que o celular de Moro não tenha sido protegido com um PIN forte e alguém tenha tido acesso ao telefone, fisicamente, para instalar o spyware.
 
O vazamento de chat de grupo privado é ainda mencionado por Corrons. “Vimos um caso na Espanha, onde vazou um chat de um grupo privado do Telegram, pertencente ao partido político de extrema esquerda do país, o Podemos. Nesta situação, aparentemente alguém roubou o telefone de um dos membros e copiou todas as mensagens do grupo”, diz Luis Corrons. “No entanto, parece improvável que isso tenha acontecido com a autoridade no Brasil, já que não havia apenas mensagens de bate-papo, mas também gravações de áudio, vídeos e fotos vazadas”, completou.
 
Além disso, até agora, o site The Intercept Brasil em nenhum momento disse que o material publicado foi adquirido fruto de um ataque cibernético.
 
Como garantir que o vazamento de dados em aplicativos não aconteça?
 
Use senhas fortes: Para proteger o telefone contra espiões, os usuários devem, em primeiro lugar, garantir o uso de uma senha forte no dispositivo. Sem essa primeira camada de segurança em vigor, qualquer pessoa que acessar o telefone do usuário poderá acessar os aplicativos e os dados armazenados nele.
 
Instale um gerenciador de senhas: Se uma pessoa mal-intencionada tiver acesso à senha do usuário, ela poderá tentar utilizar essa senha para acessar outras contas nas quais o usuário está inscrito. Em geral, as pessoas devem usar senhas exclusivas. Os usuários não devem facilitar essas pesquisas, incluindo, potencialmente, referências da pessoa parceira. A melhor prática é usar um gerenciador de senhas para criar senhas exclusivas e difíceis de serem violadas. Um gerenciador de senhas lembra todas as senhas do usuário. Outra opção é usar frases complexas e memoráveis ou “frases sigilosas”, que os usuários sejam capazes de lembrar.
 
Defina um código de acesso, ID de toque ou identificação de rosto: As pessoas devem definir um código de acesso, que apenas elas conheçam e, simplesmente, digitem esse código antes de utilizarem o telefone. “Para os dispositivos que permitem isso, a pessoa pode definir um “ID de toque”, o qual desbloqueia o celular em resposta à sua impressão digital ou, então, definir uma “identificação de rosto” que libera o telefone para uso quando a câmera frontal do aparelho reconhecer o usuário”, destaca o executivo.
 
Nunca clique em links: As pessoas devem evitar clicar em links que recebem via SMS, mensagem de texto ou e-mail, pois podem ser phishing, induzindo a vítima a inserir seus dados pessoais ou baixar um aplicativo malicioso.
 
Instale um aplicativo de segurança: Freqüentemente, o spyware requer o acesso root de um telefone, para acessar dados sigilosos do usuário como fotos, vídeos e gravações telefônicas. As pessoas precisam estar atentas se um aplicativo solicitar permissão para obter esse acesso total. Para uma segurança completa, deve-se usar um aplicativo de segurança que detecte e bloqueie spywares e outros malwares.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.

URLs apontam falhas em 67 servidores do governo

O Sistema Eletrônico de Informações (SEI), software desenvolvido pelo Tribunal Regional Federal da 4ª Região (TRF4) e hoje implantado em órgãos de todos os níveis de governo do Brasil – de Prefeituras a Ministérios – abriu vulnerabilidades graves nos servidores onde está funcionando. Os indícios foram publicados hoje na Internet por alguém que se identificou como ‘H0pperinnc’ – a mesma pessoa que dois dias atrás publicou dados vazados do Fundo Nacional de Desenvolvimento da Educação (FNDE) e do MEC. Segundo H0PPERINNC, a vulnerabilidade permite a execução remota de programas e código (RCE), assim com a gravação de qualquer arquivo que se deseje.

Com o título “VULNERABILIDADE #zeroday NO MÓDULO PESQUISA PÚBLICA DO SISTEMA SEI (Sistema Eletônico de Informações)”, o arquivo publicado no Pastebin.com contém 67 URLs construídas de modo que uma pessoa consiga acesso tanto para a execução de códigos quanto para a gravação de arquivos no servidor do órgão. O uso de qualquer dessas URLs faz com que seja criado um arquivo no servidor, sendo em seguida apresentado na tela para download e comprovando que um arquivo foi criado – o que não poderia estar acontecendo de modo algum. Com essa falha é possível  obter arquivos de configuração do site, arquivos de conexão com banco de dados e outros de grande importância para o gerenciamento do servidor.

As provas de conceito foram geradas, por exemplo, nos endereços dos seguintes Ministérios:

  • Fazenda
  • Meio Ambiente
  • Ciência, Tecnologia, Inovações e Comunicações
  • Justiça
  • Saúde
  • Agricultura
  • Cidades
  • Indústria, Comércio Exterior e Serviços
  • Agricultura Familiar e Desenvolvimento Agrário

[box type=”info” style=”rounded” border=”full”]O Sistema Eletrônico de Informações (SEI!) é classificado peo governo brasileiro como sistema de gestão de processos e de documentos eletrônicos. Ele é disponibilizado livremente para quaisquer órgãos, de qualquer nível governamental, por meio de um acordo de cooperação com o Ministério do Planejamento.[/box]

Também foram geradas URLs funcionais em servidores de órgãos como Correios e Biblioteca Nacional, universidades federais, secretarias estaduais e prefeituras. O uso de qualquer das URLs faz download de um arquivo exibindo dados que somente usuários privilegiados do servidor poderiam visualizar. Segundo informações obtidas pelo Ciso Advisor essa vulnerabilidade foi divulgada há cerca de dez dias, ou seja, por volta do dia 15, mas neste momento está disponível apenas em um endereço.

Há muito tempo os pesquisadores de segurança deixaram de avisar os órgãos do governo brasileiros sobre suas vulnerabilidades, por dois motivos: 1) os avisos são ignorados; 2) os pesquisadores são depois acusados de invasão e processados. Informações técnicas sobre esse tipo de problema e suas soluções podem ser encontrados em documentação do Infosec Institute:

https://preview.tinyurl.com/y9vepmee

https://tinyurl.com/y9vepmee