ViaQuatro e Kaspersky passam por falhas em seus sistemas e deixam dados de usuários expostos

A DeServ sempre traz para seus leitores os casos recentes que ocorrem na área de segurança da informação relativos a vazamentos de dados, o que está totalmente atrelado a LGPD, Lei Geral de Proteção de Dados Pessoais, que entrará em vigor em agosto de 2020.

Acompanhe os incidentes ocorridos na ViaQuatro, responsável pela Linha 4-Amarela do metrô paulistano e da Kaspersky, empresa de software de segurança.

Caso ViaQuatro

Uma falha grave na segurança da sessão de pré-cadastro para usar os bicicletários das estações levou à exposição dos dados pessoais de 10.720 pessoas.

A apuração ocorreu pelo The Hack e o incidente foi anunciado por membros do coletivo Cl0wnD4rk BlackHat Hackers.

Para ter acesso ao serviço dos bicicletários, o usuário necessitava realizar um pré-cadastro. O problema foi que ao analisar o código fonte do processo identificou-se a URL da API, pois estava aberta ao público, disponível para todos.

Desde agosto de 2016, quando o sistema foi implementado, havia cadastros de 10.720 pessoas e dados como nome completo, CPF, RG, número de telefone e endereço de todos esses usuários ficaram expostos na rede. Até mesmo a senha da ViaQuatro estava visível para hackers agirem de má fé em posse desta informação.

Ao ser informada sobre o incidente, a empresa emitiu um comunicado oficial lamentando o corrido e garantindo que retirou do site o serviço de pré-cadastro.

Caso Kaspersky

Na empresa de softwares de segurança, uma falha deixou a API de proteção exposta a invasores.

O desenvolvedor de software Wladimir Palant descobriu a vulnerabilidade que deixou uma API interna aberta, documentando sua investigação de recursos do Kaspersky Web Protection pertencentes em diversos softwares da empresa. Essa funcionalidade de proteção online realiza varreduras de resultados de pesquisa eliminando links perigosos e bloqueando anúncios para prevenção de rastreamento.

A falha no sistema permitiu que sites tivessem acesso com muita facilidade, estabelecendo uma conexão com o aplicativo e enviando comandos como se fossem o Web Protection. Conforme o programador, a ferramenta de proteção precisa se comunicar com o aplicativo Kaspersky principal e um valor de assinatura secreto, pois assim é garantida a comunicação segura.

As vulnerabilidades da empresa não são exclusivas do último mês, em julho de 2019 já havia sido divulgada uma correção, pois havia falhas quando os acessos ocorriam em navegadores específicos. Com esse patch a empresa bloqueou o acesso de algumas funcionalidades de sites em produtos 2020.

Porém, as pesquisas de Palant informaram que o patch também introduziu uma nova vulnerabilidade que poderia ser usada para acionar uma falha no processo antivírus.

Recentemente, em 28 de novembro de 2019, saiu o último patch para solucionar esse tipo de incidente. Se você utiliza Kaspersky em sua empresa, fique atento às recomendações da empresa: “A Kaspersky corrigiu problemas de segurança no componente de proteção da web em seus produtos e extensões para o Google Chrome. Esses problemas de segurança foram corrigidos pelos patches 2019 I, J e 2020 E, F, que foram entregues aos usuários através dos procedimentos de atualização automática. Para isso, pode ser necessária uma reinicialização para aplicar as atualizações. A empresa também recomenda que os usuários garantam que as extensões de proteção para navegadores estejam instaladas e ativadas.“

LGPD trará sanções rigorosas para esses casos

Ao entrar em vigor, em agosto de 2020, a LGPD traz sanções rígidas que variam de 2% do faturamento anual a 50 milhões de reais.

Vale lembrar que todas as empresas que manipulem dados pessoais, mesmo que sejam apenas dados dos colaboradores, precisam estar em compliance até a data de início da Lei.

A melhor forma de ajustar os processos da empresa de maneira assertiva e legal é através da contratação de uma empresa de consultoria especializada no assunto.

Entre em contato com nossa equipe comercial a saiba como a DeServ pode auxiliar a sua empresa a se adequar para a implantação da LGPD.

Fontes:

https://olhardigital.com.br/noticia/viaquatro-expoe-dados-de-mais-de-10-mil-usuarios-da-linha-4/93501
https://olhardigital.com.br/fique_seguro/noticia/falha-deixa-api-de-protecao-da-kaspersky-exposta-para-invasores/93499

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *