maio 2019

Observações de segurança sobre o Office 365 e outros serviços na nuvem.

Leticia da Costa

Atualmente há um grande e crescente número de organizações e empresas migrando seus serviços de e-mail para serviços na nuvem. Com isso, o número de prestadores de serviços que fazem este tipo de migração está aumentando gradativamente. Porém é necessário estar sempre ciente dos riscos que este tipo de transição traz para a empresa.

Dito isto, forneceremos informações sobre esses riscos e seus tipos, vulnerabilidades da configuração de serviços em nuvem; e como se proteger contra esses riscos e vulnerabilidades.

As organizações e empresas que fizeram a migração de seus serviços de e-mail para serviços na nuvem obtiveram determinadas configurações que diminuíram sua postura geral de segurança:

  • Autenticação multifator desativada em contas de administrador;
  • Auditoria de caixa de correio desabilitada;
  • Log de auditoria unificado desabilitado;
  • Sincronização de senhas habilitada;
  • Autenticação não suportada por protocolos legados.

Acontece que, muitas das empresas que fizeram esta migração, não possuíam uma equipe especializada de segurança de TI para que pudessem se concentrar na segurança na nuvem. Isso levou a comprometimentos de usuários, caixas de e-mail e a diversas vulnerabilidades.

Abaixo temos exemplos de vulnerabilidades de configuração:

Continue reading “Observações de segurança sobre o Office 365 e outros serviços na nuvem.”

Tudo o que você precisa saber sobre a nova Lei Geral de Proteção de Dados.

Leticia da Costa

Em 14 de agosto de 2018, foi aprovada uma ampla lei geral de proteção de dados, a LGPD, que visa alinhar a legislação já existente com a nova norma internacional estabelecida pelo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

Embora já existissem no Brasil mais de 40 normas legislativas que governam, diretamente e indiretamente, a proteção da privacidade e dados pessoais em nível federal, elas eram algumas vezes muito conflitantes ou muito ambíguas. A LGPD irá substituir e suplementar essas normas já existentes, regulando o uso de dados pessoais por setores públicos e privados.

A nova legislação entrará em vigor em 15 de agosto de 2020, 24 meses depois de ser aprovada. O período de espera inicial até a execução efetiva da lei era de 18 meses, mas depois este prazo foi estendido para mais 6 meses, através de uma ordem executiva do ex-presidente Michel Temer.

A LGPD deve muitos de seus requisitos aos precedentes estabelecidos pelo GDPR. Isso inclui a necessidade de agentes de proteção de dados, a avaliação do impacto da proteção de dados e notificações de vazamentos de dados, e tem, em seu cerne, os princípios de privacidade por design e por padrão lançados pela GDPR. As grandes semelhanças entre as duas leis podem significar também um desejo do Brasil de buscar uma decisão de adequação da Comissão da União Europeia que, se positiva, liberalizaria as transferências internacionais entre o país sul-americano e o bloco europeu.

Continue reading “Tudo o que você precisa saber sobre a nova Lei Geral de Proteção de Dados.”

A fraude da troca de SIM

Leticia da Costa

A fraude da troca de SIM (ou SIM Swap) vem tomando cada vez mais espaço no meio tecnológico, isso porque os cibercriminosos estão sempre buscando melhorar seus golpes e ataques para conseguir o máximo de lucro possível, e, em alguns casos, também o máximo de dano. Entrando mais a fundo no assunto, temos a definição de fraude de troca de SIM como um golpe que geralmente visa uma falha na autenticação de dois fatores e na verificação em duas etapas, em que o segundo fator ou etapa é um SMS ou uma chamada feita em um telefone celular.

A fraude gira em torno da exploração da capacidade de uma operadora de telefonia móvel transferir facilmente um número de telefone para um novo cartão SIM. Esse recurso é normalmente usado quando um cliente perdeu ou teve seu telefone roubado. Ataques como esses são agora generalizados, com os cibercriminosos usando-os não apenas para roubar credenciais e capturar OTPs (One True Pairing = senhas de uso único) enviadas via SMS, mas também para causar danos financeiros às vítimas.

Clientes de serviços bancários on-line também estavam sofrendo perdas em suas contas. Uma gangue organizada sozinha no Brasil conseguiu fazer 5 mil vítimas com o SIM Swap, algumas das vítimas eram empresários de alto perfil que tiveram até US$50.000 roubados de suas contas bancárias (mais de 180 mil reais).

Continue reading “A fraude da troca de SIM”