Com a polarização política, a agitação e a escalada da violência em muitas regiões do mundo, 2023 foi repleto de incertezas e tragédias. No entanto, na segurança digital, o ano pareceu mais um Dia da Marmota de incidentes causados por tipos clássicos de ataques, como phishing e ransomware, em vez de uma montanha-russa de inovação ofensiva de hackers.
O trabalho árduo de segurança cibernética sem dúvida continuará em 2024, mas para encerrar os últimos 12 meses, aqui está a retrospectiva da WIRED sobre as piores violações, vazamentos, ataques de ransomware, casos de extorsão digital e campanhas de hackers patrocinadas pelo estado do ano. Fique alerta e seguro lá fora.
Um dos hacks mais impactantes de 2023 não foi um único incidente, mas uma série de violações devastadoras, iniciadas em maio, causadas pela exploração em massa de uma vulnerabilidade no popular software de transferência de arquivos conhecido como MOVEit. O bug permitiu que hackers roubassem dados de uma longa lista de entidades e empresas governamentais internacionais, incluindo o Escritório de Veículos Motorizados da Louisiana, Shell, British Airways e o Departamento de Energia dos Estados Unidos. Progress Software, que desenvolve o MOVEit, corrigiu a falha no final de maio, e a ampla adoção da correção acabou por interromper a onda. Mas a gangue de extorsão de dados “Cl0p” já havia embarcado em uma viagem desastrosa e divertida, explorando a vulnerabilidade contra o maior número possível de vítimas. As organizações ainda estão se divulgando para divulgar incidentes relacionados ao MOVEit, e os pesquisadores disseram à WIRED que esse fluxo de atualizações quase certamente continuará em 2024 e possivelmente além.
Com sede na Rússia, o Cl0p surgiu em 2018 e funcionou como um ator padrão de ransomware por alguns anos. Mas a gangue é particularmente conhecida por encontrar e explorar vulnerabilidades em software e equipamentos amplamente utilizados, sendo o MOVEit o exemplo mais recente, para roubar informações de uma grande população de vítimas e conduzir campanhas de extorsão de dados contra elas.
A plataforma de gerenciamento de identidade Okta divulgou uma violação em seu sistema de suporte ao cliente em outubro. A empresa disse na época que cerca de 1% dos seus 18.400 clientes foram impactados. Mas a empresa teve que rever a sua avaliação em Novembro para reconhecer que na verdade todos de seus usuários de suporte ao cliente tiveram dados roubados na violação.
A estimativa original de 1 por cento veio da investigação da empresa sobre atividades nas quais os invasores usaram credenciais de login roubadas para assumir o controle de uma conta de suporte da Okta que tinha algum acesso ao sistema do cliente para ajudar os usuários a solucionar problemas. Mas essa avaliação não percebeu outra atividade maliciosa em que o invasor executou uma consulta automatizada em um banco de dados que continha nomes e endereços de e-mail de “todos os usuários do sistema de suporte ao cliente Okta” e de alguns funcionários da Okta. Tal como acontece com uma série de outros incidentes este ano, parte da importância do incidente Okta advém do facto de a empresa desempenhar um papel crítico no fornecimento de serviços de segurança para outras empresas, embora tenha sofrido uma violação anterior de alto perfil em 2021.
A Agência de Segurança Nacional dos EUA e os seus serviços de inteligência aliados em todo o mundo têm alertado desde Maio que um grupo patrocinado por Pequim conhecido como Volt Typhoon tem como alvo redes de infra-estruturas críticas dos EUA, incluindo redes eléctricas, como parte da sua actividade. As autoridades continuaram a reforçar que os defensores da rede precisam estar atentos a atividades suspeitas que possam indicar uma operação clandestina. Os ataques cibernéticos do Volt Typhoon, e de outros hackers apoiados por Pequim, são alimentados em parte pelo estoque de vulnerabilidades de dia zero do governo chinês, que podem ser transformadas em armas e exploradas. Pequim coleta esses bugs por meio de pesquisas, e alguns também podem resultar de uma lei que exige a divulgação de vulnerabilidades.
Enquanto isso, em junho, a Microsoft disse que um grupo de hackers apoiado pela China roubou uma chave criptográfica extremamente sensível dos sistemas da empresa que permitiu aos invasores acessar sistemas de e-mail do Outlook baseados em nuvem para 25 organizações, incluindo várias agências governamentais dos EUA. Em um pós-morte publicado em setembro, a Microsoft explicou que o acesso indevido à chave era incrivelmente improvável, mas ocorreu neste caso devido a uma comédia única de erros. O incidente lembrou, no entanto, que os hackers apoiados pelo Estado chinês realizam uma enorme quantidade de operações de espionagem todos os anos e muitas vezes ficam à espreita nas redes, esperando o momento oportuno para capitalizar qualquer falha ou erro.
Os cassinos MGM em Las Vegas e outras propriedades MGM em todo o mundo sofreram interrupções massivas e perturbadoras do sistema em setembro, após um ataque cibernético cometido por um afiliado do notório grupo de ransomware Alphv. O ataque causou o caos tanto para viajantes como para jogadores, e levou dias – em alguns casos, até semanas – para o grupo de hospitalidade se recuperar, à medida que os caixas eletrônicos falharam, os cartões-chave dos hotéis pararam de funcionar e as máquinas caça-níqueis apagaram.
Enquanto isso, a Caesars Entertainment confirmou nos EUA arquivamento regulatório em setembro, que também havia sofrido uma violação de dados nas mãos da Alphv, na qual muitos dos números de seguro social e de carteira de motorista de seus membros do programa de fidelidade foram roubados, juntamente com outros dados pessoais. Jornal de Wall Street relatado em setembro, o Caesars pagou cerca de metade dos US$ 30 milhões que os invasores exigiram em troca da promessa de que não divulgariam dados roubados de clientes. A MGM supostamente não pagou o resgate.
Em dezembro de 2022, o LastPass, fabricante do popular gerenciador de senhas, disse que uma violação de agosto de 2022 que havia divulgado no final de novembro de 2022 era pior do que a empresa pensava originalmente, e cópias criptografadas dos cofres de senhas de alguns usuários também foram comprometidas. para outras informações pessoais. Foi uma revelação profundamente preocupante, visto que o LastPass sofreu outros incidentes de segurança no passado e os usuários confiam à empresa as partes mais sensíveis de suas vidas digitais.
Além disso, porém, a empresa divulgou um segundo incidente em fevereiro de 2023, que também começou em agosto de 2022. Os invasores comprometeram o computador doméstico de um dos engenheiros seniores da empresa – que tinha acesso especial aos sistemas mais confidenciais do LastPass – e roubaram a autenticação. credenciais. Estes, por sua vez, permitiram-lhes acessar um ambiente de armazenamento em nuvem Amazon S3 e, em última análise, “backups de produção LastPass, outros recursos de armazenamento baseados em nuvem e alguns backups de bancos de dados críticos relacionados”, disse a empresa. escreveu em março – uma violação devastadora para uma empresa de gerenciamento de senhas.
A 23andMe divulgou no início de outubro que os invasores comprometeram com sucesso algumas das contas de seus usuários e aproveitaram esse acesso para extrair os dados pessoais de um número maior de usuários por meio do serviço de compartilhamento social opcional “DNA Relatives” da empresa. Nessa divulgação inicial, a empresa não informou quantos usuários foram afetados. Enquanto isso, os hackers começaram a vender dados que pareciam ter sido retirados de um milhão ou mais de usuários do 23andMe. Depois, numa Comissão de Valores Mobiliários dos EUA arquivamento no início de dezembro, a empresa disse que o invasor havia acessado 0,1% das contas de usuários, ou cerca de 14.000 por ano. estimativa da empresa que tem cerca de 14 milhões de clientes. O arquivamento da SEC não incluiu um número maior de pessoas afetadas pela coleta de DNA Relatives, mas 23andMe finalmente confirmado para TechCrunch que os hackers coletaram dados de 5,5 milhões de pessoas que optaram pelo DNA Relatives, além de informações de mais 1,4 milhão de usuários do DNA Relatives que “tiveram acesso às informações do perfil da árvore genealógica”. como sendo “judeus Ashkenazi”, “amplamente árabes” ou de ascendência chinesa, expondo-os potencialmente a alvos específicos.
Embora preocupante, o roubo de dados não incluía informações genéticas brutas e normalmente não seria qualificado como um “pior hack” por si só. Mas a situação foi um lembrete importante do que está em jogo ao lidar com informações relacionadas com a genética e a ancestralidade, e as possíveis consequências não intencionais da adição de mecanismos de partilha social a serviços sensíveis, mesmo quando a participação do utilizador é voluntária.
A operadora sem fio T-Mobile sofreu um número ridículo de violações de dados nos últimos anos e agora tem a duvidosa distinção de ser duas vezes vencedora de uma menção honrosa nos resumos anuais de Piores Hacks da WIRED. Este ano, a empresa divulgou duas violações. Um deles começou em novembro de 2022 e terminou em janeiro, impactando 37 milhões de clientes atuais em contas pré-pagas e pós-pagas. Os invasores roubaram nomes, endereços de e-mail, números de telefone, endereços de cobrança, datas de nascimento, números de contas e detalhes de planos de serviços de clientes. A segunda violação, que ocorreu entre fevereiro e março e foi divulgada em abril, foi pequena, impactando menos de 900 clientes. É significativo, porém, porque os dados roubados incluíam nomes completos, datas de nascimento, endereços, informações de contacto, informações de identificação do governo, números de Segurança Social e pins de contas da T-Mobile – por outras palavras, as jóias da coroa para centenas de pessoas.
