Resumo Semanal 28 e 29


📅

🔗Remini App – O app que deixa suas fotos antigas em resolução HD.

    • Mais uma da China né? ㄟ(ツ)ㄏ. O app em si faz o mesmo que o FaceApp, captura informações das fotos e envia para servidores (chineses). Assim a China vai ampliando sua base de dados de pessoas e nos termos de uso você encontra aquelas informações de sempre, dizendo que a empresa armazena suas imagens em seus bancos de dados, e que eles podem usar tudo da forma que bem entenderem.
      Sempre mantenha suas informações o mais restrito possível. Não baixe qualquer coisa e saia concedendo permissões e acessos, principalmente em algo tão revolucionário que sai “de graça”, seus dados agradecem.

Matéria completa no MacMagazine
🔗Boicote ao Facebook já custou USD 7 bilhões!

  • Empresas estão fazendo boicote ao Facebook após aderirem à campanha Stop Hate for Profit, algo como Parar o Ódio em troca de Lucros. O boicote foi iniciado por ativistas incomodados com o fato de que a rede social dá espaço para discursos de ódio e conteúdos extremistas, incluindo artigos de veículos publicamente ligados a movimentos de supremacia branca. Eis algumas empresas das mais de 180, que aderiram ao boicote até o momento: Unilever, Coca-Cola, PepsiCo., Starbucks, Honda, Verizon, e muito mais que pode ser vista na lista completa aqui.
  • Matéria completa no The Hack

🔗Spotify e você, as 191 páginas para te mapear por completo.

  • A The Hack recebeu, de uma fonte anônima, um documento em PDF que lista todos os parâmetros e eventos que o aplicativo rastreia e armazena a respeito de seus usuários. Vale lembrar que o app está disponível para quase todas as plataformas existentes no mercado, incluindo computadores, dispositivos móveis e até smart TVs. O arquivo, que possui nada menos do que 191 páginas, teria sido teoricamente recebido como uma resposta à um internauta europeu que realizou tal requisição sob os termos da GDPR (A LGPD Europeia), parece estar indo em contramão à essa tendência global.
    • Das captações técnicas: modelo, marca, especificações de hardware (CPU, armazenamento interno, memória RAM, versão do sistema operacional etc.) em todo gadget em que o app é executado, tal como modelo, marca, versão do firmware e outras especificações diversas (incluindo versão do protocolo Bluetooth) caso você utilize, por exemplo, uma caixa de som sem fio ou um headset wireless
    • Dos hábitos e comportamentos: o número de vezes que você avança ou retrocede numa faixa; quaisquer interações com a interface (deslizar, tocar, clicar etc.), incluindo ações que foram canceladas ou falharam por um motivo qualquer (adição de uma canção em uma playlist, um compartilhamento nas redes sociais e assim por diante). O mesmo ocorre com as reações do internauta quando ele se depara com um anúncio.
  • Como uma imagem — ou um arquivo — vale mais do que mil palavras, sinta-se à vontade para explorar o documento em questão por si mesmo.
  • Matéria completa na The Hack

🔗Privacidade sempre, Apple rejeitou 16 novas APIs (Interfaces de Programação de Aplicações) no Safari.

  • A cada ano, a Apple vai realizando mudanças e adicionando recursos ao Safari para tornar o navegador mais robusto do ponto de vista da privacidade. Mas não só de incrementos que se garante a evolução, também é preciso dizer não(!) e a Apple sabe fazer isso quando necessário.As APIs em questão, quase todas já presente em navegadores baseados no projeto Chromium (como o Google Chrome), permitem que websites conectem-se a alguns elementos do dispositivo em questão, como Bluetooth, NFC, status da bateria, sensor de proximidade, entradas USB e informações de rede.
  • De acordo com a empresa, tais tecnologias seriam propícias para a prática do fingerprinting — isto é, quando um determinado tracker (rastreador) dentro de um site usa elementos de APIs para identificar um usuário e “segui-lo” pela internet, identificando suas preferências e usando essas informações para exibir anúncios relevantes.
  • Segundo o hacker Jan Wildeboer: A Apple se recusou a adicionar suporte a 16 APIs por preocupações com privacidade. Eu olho para a lista e me pergunto — qual o problema desse pessoal da web? O que vocês estão fazendo? Essa não é a internet que eu quero. Isso é orwelliano e está fora de controle. […] Os navegadores estão se tornando uma porta de entrada, quase um malware com essas possibilidades. Isso realmente não me desce bem. Nenhum programa deveria ter tanto poder sobre o meu dispositivo.
  • Veja a matéria completa no MacMagazine

🔗A Volta dos que não foram

  • CADE (Conselho Administrativo de Defesa Econômica) atendeu o pedido do Facebook e da Cielo e liberou (novamente) a parceria que viabiliza os golpes, digo, digo, os pagamentos no WhatsApp.
  • Veja completo no CoinTelegraph

🔗Ransomware em apps pirateados (para macOS)

  • Sim, o macOS não é como o iOS, ele pode pegar vírus sim e trazer a desgraça para sua vida, se você tiver uma vida inteira no mac e não tiver feito backup… nunca!
  • Apenas contextualizando, Ransomware, são malwares que sequestram (criptografam) seus arquivos e exigem alguma quantia para “devolução” dos arquivos. Na verdade, o sequestro é só criptografia, eles não são roubados, de fato, do seu pc. É recomendado, inclusive, que você, se passou por algo semelhante no macOS ou no Windows, nunca pague, pois os dados nunca são “devolvidos.
  • O ransomware OSX.EvilQuest foi exposto em um relatório recente da Malwarebytes, que começou a explorar o agente após o relato de um usuário do Twitter — o usuário em questão tentou baixar uma versão pirateada do aplicativo Little Snitch em um fórum de torrents russo, mas logo viu seus arquivos tornarem-se inacessíveis e um aviso solicitando o pagamento. o pacote baixado pelo usuário tinha um instalador genérico que de fato instalou o Little Snitch — mas trouxe com ele um arquivo executável junto a um script que moveu o arquivo para uma outra localização do sistema e o renomeou para CrashReporter, uma função legítima do macOS. A partir daí, o arquivo executável se espalhou pela máquina e obteve controle das configurações de criptografia. Quando o Mac é infectado, o usuário começa a perder o acesso aos seus arquivos e o Finder passa a funcionar de forma imprevisível; em alguns casos, as máquinas infectadas exibiram o seguinte aviso:

30-alerta-ransomware-600x443.png

  • O malware em questão tem um método ainda mais nocivo que o dos ransomwares tradicionais: além de impedir o acesso ao arquivo dos usuários, ele instala também um keylogger (que detecta todas as teclas pressionadas pelo usuário) e é capaz de roubar criptomoedas em carteiras virtuais. Além do Little Snitch, a Malwarebytes detectou o ransomware sendo distribuído em outros pacotes de aplicativos pirateados como o aplicativo para DJs Mixed In Key e um pacote chamado Google Software Update.

🔗Nubank, Roxo de vergonha!

  • Nubank expôs dados de clientes na web, similar aos “vazamentos” de números de telefone do WhatsApp. Basta jogar na busca os comandos certos que o indexador Google traz links com informações de clientes, como nome completo, CPF, agência, número da conta e valor.
  • Na imagem abaixo, você vê como foram encontrados os links que traziam informações dos clientes.

google-dorks.png
Como prova de conceito da gravidade da situação, o pesquisador criou um script para listar todas as URLs disponibilizadas no Google e no Bing, e, posteriormente, desenvolveu outro código para extrair as informações bancárias em um formato de fácil leitura. Em poucos minutos, uma lista com mais de 100 nomes, CPFs, agência, conta e valor da transferência estavam na mão do especialista.
Voce pode ver a matéria completa, no The Hack, clicando aqui.
🔗E por falar em WhatsApp

  • A saga do WhatsApp Pay ganhou um novo capítulo. Agora o BACEN (Banco Central) informou que para o WhatsApp Pay ser liberado, deverá provar que os dados dos usuários estão seguros (eles não vão provar, vão só falar e vai estar tudo bem, como sempre né, afinal, falamos de Facebook).
  • Veja mais em Tecnolog

🔗Hospital Sirio Libanes foi alvo de Ciberataque

  • Segundo o próprio Hospital, os cibercriminosos tentaram invadir os sistemas de tecnologia da informação do local. Para impedir o ataque, o hospital informou que seu servidor foi completamente desconectado da internet assim que a investida foi detectada, fazendo com que os computadores da unidade fossem protegidos e o ataque impedido. O resultado da interrupção de conexão, o site e o aplicativo do hospital ficaram fora do ar durante todo o domingo, obrigando os profissionais do local a encontrarem maneiras alternativas de realizar o atendimento. Segundo o Sírio, não houve perda de informação.

🔗Anonymous anuncia Operação Hobin Hood

  • De acordo com um comunicado lançado em redes sociais, as instituições bancárias brasileiras serão atacadas com tudo, e o dinheiro será encaminhado para os pobres. A chamada Operação Robin Hood, promovida pelo grupo hacker Anonymous Brasil, começou a circular principalmente no Twitter. O grupo alega que os interessados em acompanhar a escalada contra os bancos deverão ficar atentos na #OpRobinHood.

🔗SPTrans expõe dados SENSÍVEIS de quase quase 37 milhões de usuários do Bilhete Único

  • o Olhar Digital recebeu com exclusividade uma denúncia sobre uma falha de segurança que permite a qualquer um obter dados sensíveis – fotos e dados cadastrais como CPF, RG, endereço físico completo, filiação, sexo, telefone, data de nascimento, naturalidade e estado civil – de quase 37 milhões de usuários do Bilhete Único, pertencente à SPTrans, empresa responsável pelo gerenciamento do transporte coletivo da cidade de São Paulo. a fonte de vazamento desta quarta relatou que é “extremamente simples” obter os dados dos usuários cadastrados no sistema da São Paulo Transportes. Segundo Moscow, o atacante precisaria apenas do CPF e RG da vítima para ter acesso irrestrito aos dados sensíveis dos usuários, além da possibilidade de trocar a senha sem mesmo ter conhecimento dela. (Dados que poderíamos considerar, públicos). Além do vazamento de dados, outro efeito é a negação de serviço – se o atacante modificar a senha de todos os usuários, isso impedirá que todos acessem o serviço quando necessário. “Nessa falha há dois efeitos colaterais, a disponibilidade e a confidencialidade, todos os pilares da segurança da informação são comprometidos, junto à integridade, já que em posse da senha, é possível trocar os dados”
  • Veja a matéria completa no Olhar Digital