Um grupo de hackers que se autodenomina Solntsepek, anteriormente ligado à infame unidade de hackers militares russas Sandworm, recebeu o crédito esta semana por um ataque perturbador à Internet ucraniana e ao provedor de serviços móveis Kyivstar. À medida que a guerra cinética da Rússia contra a Ucrânia se arrastava, infligindo o que o Banco Mundial estima ser cerca de 410 mil milhões de dólares em custos de recuperação para a Ucrânia, o país lançou uma plataforma oficial de crowdfunding conhecida como United24 como forma de aumentar a sensibilização e reconstruir.
Kytch, a pequena empresa que pretendia consertar máquinas de sorvete frequentemente quebradas do McDonald’s, afirma ter descoberto um e-mail “arma fumegante” do CEO do fabricante de máquinas de sorvete McDonald’s que, segundo os advogados de Kytch, sugere um suposto plano para minar Kytch como um potencial concorrente. Kytch argumenta em um processo judicial recente que o e-mail revela o verdadeiro motivo pelo qual, algumas semanas depois, o McDonald’s enviou um e-mail a milhares de seus franqueados de restaurantes alegando riscos à segurança relacionados ao dispositivo sussurrante da máquina de sorvete de Kytch.
A WIRED analisou como a Unidade de Crime Digital da Microsoft aperfeiçoou uma estratégia ao longo da última década que combina inteligência e capacidades técnicas da enorme infra-estrutura da Microsoft com tácticas jurídicas criativas para perturbar tanto o crime cibernético global como os actores apoiados pelo Estado. E mergulhámos na controvérsia sobre a reautorização dos poderes de vigilância da Secção 702 no Congresso dos EUA.
E tem mais. Toda semana, reunimos notícias sobre segurança e privacidade que não divulgamos ou cobrimos em profundidade. Clique nas manchetes para ler as histórias completas e fique seguro.
Os mandados de cerca geográfica, que exigem que as empresas de tecnologia forneçam dados sobre todos em uma determinada área geográfica em um determinado momento, tornaram-se uma ferramenta incrivelmente poderosa para a aplicação da lei. O envio de um mandado de geocerca ao Google, em particular, passou a ser visto quase como um “botão fácil” entre os investigadores da polícia, visto que o Google armazena há muito tempo dados de localização de usuários na nuvem, onde podem ser exigidos para ajudar a polícia a identificar suspeitos. baseia-se apenas no momento e no local do crime – uma prática que tem horrorizado os defensores da privacidade e outros críticos que afirmam que ela viola a Quarta Emenda. Agora, o Google fez mudanças técnicas para controlar esse poder de vigilância.
A empresa anunciou esta semana que iria armazenar o histórico de localização apenas nos telefones dos usuários, excluí-lo por padrão após três meses e, se o usuário optar por armazená-lo em uma conta na nuvem, mantê-lo criptografado para que nem mesmo o Google possa. descriptografá-lo. A medida foi amplamente aplaudida pelas multidões de privacidade e liberdades civis como uma proteção há muito esperada para os usuários. Também retirará à aplicação da lei uma ferramenta da qual passou a depender cada vez mais. Mandados de cerca geográfica foram enviados ao Google, por exemplo, para obter dados sobre mais de 5.000 dispositivos presentes na invasão do Capitólio dos EUA em 6 de janeiro de 2021, mas também foram usados para resolver crimes muito menores, incluindo os não violentos. Chega do “botão fácil”.
Em um tipo diferente de movimento técnico para reforçar a proteção dos dados dos usuários, a Apple adicionou novos recursos de segurança projetados para tornar mais difícil para os ladrões explorarem os dados e contas confidenciais dos usuários. Jornal de Wall Street tive anteriormente relatado sobre como os ladrões que simplesmente aprenderam a senha de alguém – digamos, olhando por cima do ombro – e depois roubaram seu telefone poderiam acessar suas contas on-line e até mesmo fazer pagamentos para esgotar seus saldos bancários. A Apple criou agora um recurso de proteção de dispositivos roubados que, quando ativado, exigirá que você use um recurso biométrico como TouchID ou FaceID para acessar determinadas contas e recursos do telefone, além da senha que desbloqueia o telefone. Para os recursos mais confidenciais, como alterar senhas ou códigos de acesso ou desligar o Find My, a Apple também forçará você a esperar uma hora e autenticar novamente se o telefone não estiver em um local que o usuário normalmente frequenta.
O grupo de hackers chineses conhecido como Volt Typhoon tocou o alarme em toda a indústria de segurança cibernética durante todo o ano com notícias de suas invasões visando redes elétricas e outras infraestruturas críticas na região do Pacífico e nos EUA. Um novo relatório de O Washington Post oferece novos detalhes da mistura perturbadora de redes que o grupo violou, incluindo uma concessionária de água no Havaí, um oleoduto e gás e um importante porto da Costa Oeste. Na verdade, os hackers não causaram quaisquer perturbações, nem penetraram no lado do sistema de controlo industrial das redes dos seus alvos – os sistemas sensíveis capazes de desencadear efeitos físicos. Mas, em combinação com relatórios anteriores sobre o trabalho do Volt Typhoon para plantar malware em empresas de energia eléctrica nos EUA continentais e em Guam, o relatório pinta um quadro das medidas crescentes da China para preparar o terreno para perturbações no caso de uma crise, como uma invasão de Taiwan.
A noção de que seu iPhone ou Amazon Echo está ouvindo silenciosamente suas conversas tem sido uma das suspeitas mais paranóicas de todos os usuários de tecnologia – reforçada, é claro, pelos anúncios direcionados que muitas vezes são tão precisos que parecem ter sido extraídos diretamente de conversas verbais. Esta semana, essa suspeita finalmente se tornou mais do que uma lenda urbana quando a 404 Media noticiou que uma empresa de publicidade afirmava ativamente que poderia espionar conversas por meio desses tipos de dispositivos. A empresa Cox Media Group (CMG) se gaba em seus materiais de marketing de já oferecer a técnica aos clientes e “o ROI já é impressionante”. Ele lista Amazon, Microsoft e Google como supostos clientes. Mas a 404 Media não conseguiu verificar se a técnica funciona conforme anunciado – um enorme “se” – e a CMG não respondeu ao pedido de comentários da 404 Media.
