Falha de segurança do Procon-SP podia expor dados de consumidores que se registraram para não receber ligações de telemarketing. Avast ajudou a comprovar a falha e proteger 2 milhões de paulistanos.
O sistema usado pelo Procon-SP para cadastrar mais de 2 milhões de consumidores que queriam bloquear ligações de telemarketing em telefones fixos e móveis expunha os dados pessoais como nome completo, CPF, RG, telefone e endereço. A falha também permitia a criação de um falso site do Procon que poderia roubar esses dados (golpe de phishing).
Lukas Rypacek da Avast confirmou que qualquer pessoa que estivesse na mesma rede Wi-Fi ou com acesso aos servidores por onde trafegavam os dados podia ter acesso ao conteúdo, pois ele usava o protocolo HTTP e não estava criptografado. Chama a atenção que órgãos do governo não estejam seguindo os procedimentos básicos de segurança, expondo os usuários a golpes e fraudes como alguém fazer empréstimos ou abrir crediário no seu nome ou realizar compras.
“Os dados podem ser facilmente observados [por terceiros] e o usuário não vai perceber nada”, Lukas Rypacek da Avast
O Procon-SP respondeu ao Agora que estava agendada uma atualização dos sistemas de telemarketing para usar o protocolo HTTPS. A Prodesp disse que esse caso seria pontual e que iria corrigir a falha.
O Avast Secure Browser analisa a segurança dos sites que você visita
Não confunda esse serviço com o “Não Me Perturbe”, iniciativa semelhante da Anatel limitada a bloquear apenas as ligações das operadoras de telefonia (ofertas de planos de telefonia e banda larga). A plataforma de Anatel também sofreu com falhas de segurança que expuseram dados de 620 mil consumidores e, agora, já utiliza o protocolo HTTPS.
Plataforma de segurança de biometria deixa vazar 28 milhões de registros
Quando um site é invadido, você pode trocar a sua senha. Mas o que podemos fazer quando nossas impressões digitais, íris ou dados faciais vazam na internet?
Pesquisadores* descobriram que 23 GB de dados biométricos da plataforma BioStar podiam ser acessados publicamente e sem criptografia, incluindo impressões digitais e dados de reconhecimento facial de 1 milhão de pessoas, seus nomes de usuário, senhas e fotos, além de registros de funcionários que permitem operar novos golpes de phishing.
Mais de 5.700 instituições governamentais, bancos, delegacias de polícia e empresas de segurança privada em 83 países usam o sistema e revela o pouco cuidado com os protocolos básicos de segurança de dados. A falha que gerou o vazamento foi corrigida no dia 14 de agosto.
Golpe de phishing usa o Google Drive para enganar a segurança
A Bleeping Computer* informou que cibercriminosos estavam enviando e-mails do Google Drive que enganava o sistema de e-mails dos servidores Exchange da Microsoft. O corpo do e-mail trazia uma mensagem urgente que parecia vir do CEO da empresa e os funcionários recebiam um convite para editar um documento do Google Docs.
Típico e-mail do Google Docs usado em golpes que roubam dados pessoais
O documento redirecionava os funcionários para uma página falsa onde eles deveriam digitar suas credenciais para acessar a mensagem do CEO, mas, na prática, tinham suas senhas roubadas.
Recentemente, vimos outros golpes que usavam notificações do WeTransfer, anexos infectados com documentos do Microsoft Word e redirecionamento a sites falsos usando códigos QR. Especialistas sugerem o uso de antivírus com tecnologia de inteligência artificial para detectar sites falsos (golpes de phishing).
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.