Calma, é só desta vez! Excepcionalmente nesta semana, nosso tradicional Resumo Semanal não contará com bate-papo em vídeo e podcast com um especialista — nossos convidados andam com a agenda cheia nesta temporada pós-Carnaval. Contudo, isso não significa que deixaremos de debater com nossa comunidade sobre as principais notícias que abalaram o mercado de cibersegurança ao longo dos últimos dias.
A principal polêmica da vez é, sem dúvidas, a controversa decisão do Twitter de tornar o recurso de autenticação dupla via SMS algo exclusivo para assinantes do plano premium Twitter Blue. Em um comunicado disparado para seus usuários, a plataforma afirma que a medida busca justamente inibir o uso do recurso por parte de criminosos cibernéticos; ainda será possível usar métodos mais seguros de autenticação dupla gratuitamente, incluindo chaves físicas (ex.: FIDO2) e aplicativos geradores do tipo time-based (TOTP).
“Embora seja historicamente uma forma popular de 2FA, infelizmente, vimos o 2FA baseado em números de telefone ser usado — e abusado — por pessoas mal-intencionadas. Portanto, a partir de hoje, não permitiremos mais que contas se inscrevam no método de mensagem de texto/SMS de 2FA, a menos que sejam assinantes do Twitter Blue. A disponibilidade da mensagem de texto 2FA para o Twitter Blue pode variar de acordo com o país e a operadora”, afirmou a companhia.
É interessante ressaltar que, de fato, a autenticação multifatorial baseada em mensagens de texto não é tão segura, visto que atores maliciosos já demonstraram facilidade em burlar sistemas para obter os códigos recebidos via SMS (seja por SIM Swap ou ataques diretos ao protocolo de telefonia). Ainda assim, a mudança radical e repentina causou divisão na comunidade internacional de cibersegurança, com alguns profissionais aprovando e outros condenando a rede social.
Vale lembrar que a assinatura Blue custa R$ 42 no plano mensal e R$ 440 no plano anual; caso o usuário pretenda usar o serviço também no celular, a mensalidade sobe para R$ 60. Os internautas que não quiserem pagar têm até o dia 20 de março para escolher outra forma de usar a autenticação dupla.
Confira outras notícias importantes da semana:
Correios anuncia vazamento de dados: a estatal publicou um pronunciamento no qual confirma uma brecha de segurança na plataforma “Meus Correios”, recomendando seus usuários cadastrados a atualizar sua senha. Embora os Correios tenham garantido estar em comunicação com a Autoridade Nacional de Proteção de Dados (ANPD), detalhes sobre o incidente, incluindo o número total de afetados e quantos dados foram comprometidos, ainda não são conhecidos.
Novo ransomware quer saber da sua apólice de seguro cibernético: em sua nova atualização 2.0, a cepa de ransomware HardBit foi flagrada utilizando um método nada convencional de extorquir suas vítimas. De acordo com um relatório da Varonis, os operadores do RaaS estão convencendo seus alvos a compartilhar detalhes sobre suas apólices de seguro cibernético, tentando chegar a um valor que possa ser pago e posteriormente compensado pela seguradora.
Criminosos distribuem trojan camuflado como client do ChatGPT: o chatbot mais famoso da atualidade possui muitos recursos, mas “peca” por não possuir um client dedicado para ser usado fora do browser. Atores maliciosos têm usado tal detalhe para ludibriar internautas desavisados, disseminando uma suposta versão instalável da inteligência artificial. O software falso carrega o trojan Fobo, capaz de roubar credenciais de redes sociais.
