Tema: segurança

Falha de segurança também afeta BBOM

Double FacepalmApós ter descoberto, por acaso, a falha de segurança no site da TelexFree, que faz com que os dados de seus divulgadores/compradores/consumidores sejam expostos na Internet, eu decidi fazer algumas pesquisas para ver se outras empresas são afetadas. E a resposta não é nenhuma surpresa. Sim, outras empresas suspeitas de práticas de pirâmide financeira também apresentam a mesma falha descoberta no site da TelexFree ontem.

A bola da vez é a BBOM, que também utiliza o boleto bancário do Banco do Brasil, mas não consegui descobrir se usam o mesmo script gratuito que é utilizado pela TelexFree (que por sinal tem falha conhecida que permitiria ataques de SQL Injection).

Apesar de terem sido um pouco mais precavidos, o site não evitou que os dados pessoais de seus clientes/divulgadores fossem parar no Google e ficassem disponíveis para quem quisesse olhar / guardar / associar seu nome. Continue lendo “Falha de segurança também afeta BBOM”

Falha no site da TelexFree expõe dados de compradores

Piramide FAILO que uma empresa tem de mais valioso é sua base de clientes e consumidores. No caso de uma empresa que trabalha com venda direta e diz trabalhar com multi-níveis, essa base é ainda mais preciosa e seus dados devem ser tratados sempre com o maior cuidado possível.

Se tratando de uma empresa com atividades ainda duvidosas – cof cof pirâmide financeira cof cof – tais dados são extremamente sensíveis, tendo em vista que muita gente não gostaria de ter seu nome associado às atividades da empresa e pior ainda, revelados a quem quer que seja.

Pois bem, fazendo uma busca sobre as atividades da empresa no Google – pois fiquei sabendo da recente mudança para S/A e queria checar – eu esbarrei em algumas páginas e não consegui acreditar. Não que os dados apresentados sejam extremamente relevantes ou absurdamente secretos, mas pela simplicidade que seria evitar que isso ficasse exposto. Me lembrou imediatamente que a empresa, dias atrás, teve um recurso não julgado por ausência do pagamento da taxa de R$ 40,00, evidenciando a falta de preparo para coisas simples – o que diremos sobre coisas importantes como a sustentabilidade do negócio. Continue lendo “Falha no site da TelexFree expõe dados de compradores”

WordPress sob ataque

WordPress Brute Force

Segundo relatos de grandes provedores de infraestrutura e hospedagem, como o HostGator e o CloudFlare, está acontecendo um enorme ataque a sites movidos a WordPress em toda a Internet. A técnica conhecida como Brute Force Attack, utiliza o método de “tentativa e erro” para tentar descobrir senhas simplesmente “chutando-as” (óbvio, com a utilização de enormes dicionários e muitos computadores, isso fica muito mais fácil e rápido).

Foi divulgado o número de 90.000 IPs trabalhando para tentar invadir as áreas administrativas de sites em WordPress. Da maneira mais simples, o sistema tenta acessar a área wp-admin e efetuar o login com o usuário “admin” que é setado por padrão em toda nova instalação do CMS.

Como são requisições comuns de login e de forma distribuída, fica impraticável fazer o controle manual das tentativas e bloqueá-las, no entanto, algumas precauções podem ser tomadas para evitar grandes tragédias. Continue lendo “WordPress sob ataque”

Como instalar o Token e Certificado Digital e-CNPJ no Mac

SafeNet-on-MacOSEssa é uma daquelas coisas que a gente sempre vai empurrando com a barriga até o dia em que realmente precisa. Quando tive que implementar o Certificado Digital em minha empresa, foi na correria. Tinha que emitir a NF-e Paulista naquele dia e descobri da necessidade do token, do prazo para cadastro, etc. Resultado: alguns dias de atraso no pagamento e muita correria para emitir a nota.

Como não havia um tutorialzinho básico na Internet e, por telefone, o suporte técnico dos Correios falou que só dava suporte para Windows, acabei instalando tudo no computador da empresa que estava prestando serviços e pronto. Não toquei mais no assunto, problema resolvido.

Aí hoje eu precisei emitir uma nota e … f*deu. Segui 3 procedimentos diferentes que achei na Internet, e após 3 horas de pesquisa – incluindo uma busca louca pelos documentos que usei para criar o certificado na primeira vez – consegui instalar tudo e fazer funcionar no MacOS, sem precisar instalar uma Virtual Machine de Windows (a solução mais rápida). Continue lendo “Como instalar o Token e Certificado Digital e-CNPJ no Mac”

Multifactor Authentication na DreamHost

google-authenticator-logoA DreamHost, um dos webhostings mais conhecidos e utilizados na blogosfera brasileira (e lá fora também), implementou por esses dias a Autenticação Múltipla (numa tradução livre de Multifactor Authenticator) em seu painel de controle. Em parte isso se deve a um dos últimos episódios de hacking envolvendo a DreamHost, quando seus usuários tiveram suas senhas de painel expostas a um grupo invasor e rapidamente a DH agiu de forma corretiva. Essa é uma ação preventiva.

Tendo em vista uma invasão ainda mais recente envolvendo o LinkedIN (unsalted passwords, LinkedIN? Really?), qualquer iniciativa de tornar o processo de login um pouco mais seguro, é sempre válida. E no caso da DH, a solução adotada foi o uso de um token virtual em forma de aplicativo mobile. O escolhido foi o Google Authenticator.

O que é o Google Authenticator e como utilizá-lo

Você provavelmente utiliza em seu acesso ao Internet Banking alguma forma de autenticação secundária, seja através de um cartão de códigos (bizarro) ou um token eletrônico em forma de chaveiro. Alguns bancos já possuem token eletrônico, em forma de aplicativo móvel e/ou extensão do browser. Nada mais é que um gerador automático e temporal de senhas dinâmicas. Uma segunda senha que só quem sabe é quem tem acesso ao token.

O Google Authenticator App é um desses geradores, que possui duas formas de apresentar os códigos: em forma de contador, em que cada vez que você utiliza ele gera um código, e temporal, que muda o código a cada intervalo de tempo, bem pequeno, sendo assim mais seguro.

O aplicativo é multiplataforma. Existem versões para iOS, Android, BlackBerry e Windows Phone, abrangendo praticamente todo o mercado mobile e por isso, a opção mais adequada a ser adotada pela DreamHost. Para baixá-lo, apenas acesse sua loja de aplicativos mobile de costume e busque pelo nome – ou acesse a wiki da DH e veja os endereços.

Após a instalação do aplicativo, basta clicar no “+” e criar uma nova autenticação com o site escolhido. No passo a passo abaixo, aprenda como criar uma autenticação secundária no seu painel da DreamHost. Continue lendo “Multifactor Authentication na DreamHost”