sexta-feira, 18 de dezembro de 2009
Veja o 'hall da fama' das falhas de segurança de 2009
Confira cinco casos de empresas ou órgãos de governo que não tomaram medidas básicas de segurança para proteger informações próprias ou de seus clientes.
Por Computerworld/EUA
17 de dezembro de 2009 - 13h28
Se houvesse algum consolo sobre os vazamentos de dados que ocorreram este ano, seria que a maioria deles se deu por conta de falhas de segurança muito familiares. Poucos foram realmente resultado da engenhosidade dos hackers.
As companhias ou órgãos do governo continuam a errar nas questões mais comuns: laptops perdidos, software sem correções e mal codificados, trapalhadas quanto à revelação de informações, entre outras questões relacionadas à mã gestão de segurança. Confira o "hall da fama" das falhas de segurança de 2009:
Procedimentos de segurança de aeroportos dos EUA vão parar na web
Uma das maioires gafes do ano foi da Transportation Security Administration (TSA), orgão do governo federal norte-americano que postou em seu web site público, acidentalmente, um manual contendo detalhes completos de sobre procedimentos de segurança de aeroportos norte-americanos. O vazamento ocorreu quando um manual padrão de operações da TSA foi postado em um web site federal como parte de um processo de licitação.
O documento incluia detalhes sobre checagem de aparelhos explosivos, regras especiais para lidar com a CIA, diplomatas e autoridades, além de definições técnicas e tolerâncias usadas para metais e detectores de explosivos usados em aeroportos. Pessoas da área de direito classificaram a falha como chocante e uma ameaça à segurança nacional os EUA.
130 milhões de dados de cartões são roubados
A empresa Heartland, especializada em sistemas de pagamento, entra na lista pelo tamanho e escopo de sua falha, ocorrida em janeiro. O problema ocorreu a partir de SQL injections (códigos inseridos em campos que lidam com bancos de dados SQL) que permitiu a hackers roubar dados de pagamento de aproximadamente 130 milhões de cartões de crédito e débito. Foi o maior vazamento de dados de pagamento da história.
Empresa perde HD com 1,5 milhão de dados e esconde fato
A empresa de saúde Health Net já teria se prejudicado o suficiente ao perder um HD sem criptografia com dados referentes a 7 anos de informações pessoais, financeiras e médicas de cerca de 1,5 milhão de clientes. Mas a história foi pior ainda: a companhia escondeu o fato por seis meses. Além das fichas médicas, o HD continha nomes, endereços e números do seguro sócial (equivalente ao CPF no Brasil) de cliente quatro estados norte-americanos. O caso acabou gerando uma lei que obriga as empresas de saúde a revelar casos de vazamento de dados.
Estados Unidos compartilham informações nucleares com o mundo
Um documento com informações sensíveis sobre instalações nucleares civis foi publicado no website do governo norte-americano. O arquivo estava marcado pelo presidente dos Estados Unidos como "altamente confidencial".
O documento continua informações detalhadas sobre centenas de instalações nucleares civis em todo o país, incluindo aquelas que armazenam urânio enriquecido. O arquivo listava detalhes de programas de armas nucleares de laboratórios de pesquisa em Los Alamos, Livermore e Sandia. Suspeita-se que o texto tenha sido publicado devido às diferentes formas de classificação e manuseio de documentos das agências governamentais.
32 milhões de senhas armazenados em uma planilha de texto
A RockYou Inc, que fornece soluções de redes sociais, entrou para esta lista durante esta semana, depois de uma falha de segurança que expôs nomes de usuário e senhas de 32 milhões de participantes registrados. Só por isso, o número dá notoriedade à falha, mas o que torna a situação ainda pior é que a RockYou mantinha todas as senhas em uma planinha de texto.
Como a empresa exige que os usuários registrem-se informando seus endereços de e-mail, o hacker responsável por descobrir a brecha de segurança agora tem acesso a milhões de contas de correio eletrônico (a menos que os usuários mudem seus endereços). Com o cresente número de tentativas de roubo de credenciais legítimas para quebrar todos os tipos de contas online, a falha da RockYou em não tomar precauções básicas pode ser considerada, no mínimo, notável.
Por Computerworld/EUA
17 de dezembro de 2009 - 13h28
Se houvesse algum consolo sobre os vazamentos de dados que ocorreram este ano, seria que a maioria deles se deu por conta de falhas de segurança muito familiares. Poucos foram realmente resultado da engenhosidade dos hackers.
As companhias ou órgãos do governo continuam a errar nas questões mais comuns: laptops perdidos, software sem correções e mal codificados, trapalhadas quanto à revelação de informações, entre outras questões relacionadas à mã gestão de segurança. Confira o "hall da fama" das falhas de segurança de 2009:
Procedimentos de segurança de aeroportos dos EUA vão parar na web
Uma das maioires gafes do ano foi da Transportation Security Administration (TSA), orgão do governo federal norte-americano que postou em seu web site público, acidentalmente, um manual contendo detalhes completos de sobre procedimentos de segurança de aeroportos norte-americanos. O vazamento ocorreu quando um manual padrão de operações da TSA foi postado em um web site federal como parte de um processo de licitação.
O documento incluia detalhes sobre checagem de aparelhos explosivos, regras especiais para lidar com a CIA, diplomatas e autoridades, além de definições técnicas e tolerâncias usadas para metais e detectores de explosivos usados em aeroportos. Pessoas da área de direito classificaram a falha como chocante e uma ameaça à segurança nacional os EUA.
130 milhões de dados de cartões são roubados
A empresa Heartland, especializada em sistemas de pagamento, entra na lista pelo tamanho e escopo de sua falha, ocorrida em janeiro. O problema ocorreu a partir de SQL injections (códigos inseridos em campos que lidam com bancos de dados SQL) que permitiu a hackers roubar dados de pagamento de aproximadamente 130 milhões de cartões de crédito e débito. Foi o maior vazamento de dados de pagamento da história.
Empresa perde HD com 1,5 milhão de dados e esconde fato
A empresa de saúde Health Net já teria se prejudicado o suficiente ao perder um HD sem criptografia com dados referentes a 7 anos de informações pessoais, financeiras e médicas de cerca de 1,5 milhão de clientes. Mas a história foi pior ainda: a companhia escondeu o fato por seis meses. Além das fichas médicas, o HD continha nomes, endereços e números do seguro sócial (equivalente ao CPF no Brasil) de cliente quatro estados norte-americanos. O caso acabou gerando uma lei que obriga as empresas de saúde a revelar casos de vazamento de dados.
Estados Unidos compartilham informações nucleares com o mundo
Um documento com informações sensíveis sobre instalações nucleares civis foi publicado no website do governo norte-americano. O arquivo estava marcado pelo presidente dos Estados Unidos como "altamente confidencial".
O documento continua informações detalhadas sobre centenas de instalações nucleares civis em todo o país, incluindo aquelas que armazenam urânio enriquecido. O arquivo listava detalhes de programas de armas nucleares de laboratórios de pesquisa em Los Alamos, Livermore e Sandia. Suspeita-se que o texto tenha sido publicado devido às diferentes formas de classificação e manuseio de documentos das agências governamentais.
32 milhões de senhas armazenados em uma planilha de texto
A RockYou Inc, que fornece soluções de redes sociais, entrou para esta lista durante esta semana, depois de uma falha de segurança que expôs nomes de usuário e senhas de 32 milhões de participantes registrados. Só por isso, o número dá notoriedade à falha, mas o que torna a situação ainda pior é que a RockYou mantinha todas as senhas em uma planinha de texto.
Como a empresa exige que os usuários registrem-se informando seus endereços de e-mail, o hacker responsável por descobrir a brecha de segurança agora tem acesso a milhões de contas de correio eletrônico (a menos que os usuários mudem seus endereços). Com o cresente número de tentativas de roubo de credenciais legítimas para quebrar todos os tipos de contas online, a falha da RockYou em não tomar precauções básicas pode ser considerada, no mínimo, notável.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário