Slack divulga violação de seu repositório de código Github

Desde então Elon Musk gastou US $ 44 bilhões no Twitter e demitiu uma grande porcentagem da equipe da empresa, houve preocupações com violações de dados. Agora parece que um incidente de segurança anterior à aquisição de Musk está causando dores de cabeça. Esta semana, descobriu-se que os hackers divulgaram um tesouro de 200 milhões de endereços de e-mail e seus links para identificadores do Twitter, que provavelmente foram coletados entre junho de 2021 e janeiro de 2022. A venda dos dados pode colocar contas anônimas do Twitter em risco e aumentar o escrutínio regulatório. na empresa.

O WhatsApp lançou uma nova ferramenta anticensura que espera ajudar as pessoas no Irã a evitar bloqueios impostos pelo governo na plataforma de mensagens. A empresa possibilitou que as pessoas usassem proxies para acessar o WhatsApp e evitar a filtragem do governo. A ferramenta está disponível globalmente. Também explicamos o que são golpes de abate de porcos e como evitar cair em suas armadilhas.

Também nesta semana, a empresa de segurança cibernética Mandiant revelou que viu o grupo russo de ciberespionagem Turla usar novas táticas inovadoras de hacking na Ucrânia. O grupo, que se acredita estar conectado à agência de inteligência FSB, foi flagrado pegando carona em infecções USB inativas de outros grupos de hackers. Turla registrou domínios expirados de malware de anos e conseguiu assumir seus servidores de comando e controle.

Também relatamos as consequências contínuas do hack do EncroChat. Em junho de 2020, a polícia em toda a Europa revelou que invadiu a rede telefônica criptografada do EncroChat e coletou mais de 100 milhões de mensagens de seus usuários, muitos deles criminosos potencialmente graves. Agora, milhares de pessoas foram presas com base nas informações coletadas, mas a apreensão está levantando questões mais amplas sobre hackers policiais e o futuro das redes telefônicas criptografadas.

Mas isso não é tudo. A cada semana, reunimos as histórias de segurança que não cobrimos em profundidade. Clique nas manchetes para ler as notícias completas. E fique seguro lá fora.

Em 31 de dezembro, enquanto milhões de pessoas se preparavam para o início de 2023, o Slack postou uma nova atualização de segurança em seu blog. No post, a empresa afirma ter detectado um “problema de segurança envolvendo acesso não autorizado a um subconjunto dos repositórios de código do Slack”. A partir de 27 de dezembro, descobriu que um agente de ameaça desconhecido havia roubado tokens de funcionários do Slack e os usado para acessar seu repositório GitHub externo e baixar parte do código da empresa.

“Quando notificados do incidente, invalidamos imediatamente os tokens roubados e começamos a investigar o possível impacto para nossos clientes”, diz a divulgação do Slack, acrescentando que o invasor não acessou os dados do cliente e os usuários do Slack não precisam fazer nada.

O incidente é semelhante a um incidente de segurança de 21 de dezembro divulgado pela empresa de autenticação Okta, como observa o jornalista de segurança cibernética Catalin Cimpanu. Pouco antes do Natal, a Okta revelou que seus repositórios de código foram acessados ​​e copiados.

Slack rapidamente descobriu o incidente e o relatou. No entanto, conforme detectado pelo Bleeping Computer, a divulgação de segurança do Slack não apareceu em seu blog de notícias usual. E em algumas partes do mundo, a empresa incluiu um código para impedir que os mecanismos de busca o incluíssem em seus resultados. Em agosto de 2022, o Slack forçou a redefinição de senha depois que um bug expôs senhas com hash por cinco anos.

Um homem negro na Geórgia passou quase uma semana na prisão depois que a polícia supostamente contou com uma correspondência de reconhecimento de rosto que estava incorreta. A polícia da Louisiana usou a tecnologia para obter um mandado de prisão para Randal Reid em um caso de roubo que estavam investigando. “Nunca estive na Louisiana um dia sequer na minha vida. Então eles me disseram que era por roubo. Portanto, não apenas não estive na Louisiana, como também não roubo”, disse Reid ao site de notícias local Nola.

A publicação diz que um detetive “pegou o valor nominal do algoritmo para garantir um mandado” e diz que pouco se sabe sobre o uso policial da tecnologia de reconhecimento facial na Louisiana. Os nomes de quaisquer sistemas usados ​​não foram divulgados. No entanto, este é apenas o caso mais recente de tecnologia de reconhecimento facial usada em prisões ilegais. Embora o uso da tecnologia de reconhecimento facial pela polícia tenha se espalhado rapidamente pelos estados dos EUA, a pesquisa mostrou repetidamente que identifica pessoas de cor e mulheres com mais frequência do que os homens brancos.

No primeiro dia deste ano, a Ucrânia lançou seu ataque de míssil mais mortífero contra as tropas invasoras russas até o momento. Um ataque a um quartel russo temporário em Makiivka, na região de Donetsk ocupada pelos russos, matou 89 soldados, afirma o Ministério da Defesa russo. Autoridades ucranianas dizem que cerca de 400 soldados russos foram mortos. Na sequência, o Ministério da Defesa da Rússia alegou que a localização das tropas foi identificada porque eles estavam usando telefones celulares sem permissão.

Durante a guerra, ambos os lados disseram que são capazes de interceptar e localizar chamadas telefônicas. Embora a última reivindicação da Rússia deva ser tratada com cautela, o conflito destacou como os dados de código aberto podem ser usados ​​para atingir as tropas. Drones, imagens de satélite e postagens em redes sociais têm sido usados ​​para monitorar as pessoas na linha de frente.

Uma nova lei na Louisiana exige que os sites pornográficos verifiquem a idade dos visitantes do estado para provar que são maiores de 18 anos. A lei diz que a verificação de idade deve ser usada quando um site contém 33,3% ou mais de conteúdo pornográfico. Em resposta à lei, o PornHub, o maior site de pornografia do mundo, agora oferece às pessoas a opção de vincular sua carteira de motorista ou ID do governo através de um serviço de terceiros para provar que são adultos legais. O PornHub diz que não coleta dados do usuário, mas a medida levantou temores de vigilância.

Em todo o mundo, os países estão introduzindo leis que exigem que os visitantes de sites pornográficos provem que têm idade suficiente para visualizar o material explícito. Legisladores na Alemanha e na França ameaçaram bloquear sites pornográficos se não implementarem as medidas. Enquanto isso, em fevereiro de 2022, o Twitter começou a bloquear criadores de conteúdo adulto na Alemanha porque os sistemas de verificação de idade não estavam em vigor. O Reino Unido tentou introduzir medidas semelhantes de verificação de idade entre 2017 e 2019; no entanto, os planos fracassaram devido à confusão dos administradores de sites pornográficos, falhas de design e medo de violações de dados.

O mundo dos espiões é, por sua própria natureza, envolto em segredo. As nações enviam agentes aos países para coletar informações, recrutar outros ativos e influenciar eventos. Mas ocasionalmente esses espiões são pegos. Desde a invasão em grande escala da Ucrânia pela Rússia em fevereiro de 2022, mais espiões da Rússia em toda a Europa foram identificados e expulsos de países. Um novo banco de dados do pesquisador de código aberto @inteltakes reuniu casos conhecidos de espiões da Rússia na Europa desde 2018. O banco de dados lista 41 entradas de espiões expostos e, sempre que possível, detalha a nacionalidade de cada ativo, profissão e o serviço pelo qual foram recrutados .