NIST e Department of Homeland Security são afetados pela falta de recursos financeiros nos EUA

“Devido a ausência de verbas do Congresso para o ano fiscal de 2019, o Departamento de Comércio dos EUA está fechado. Os sites do Departamento de Comércio não serão atualizados até segunda ordem. Para obter mais informações, consulte Encerramento devido ao lapso de apropriações do Congresso.”

Esta é uma tradução livre, para o aviso disponível no site do Departamento de Comércio dos Estados Unidos da América.

Quem visita a página web é informado de que os recursos, estimados para este ano, foram esgotados no dia 21 de dezembro, e que um plano de continuidade está sendo implementado, porém vários custos estão sendo cortados, incluindo a manutenção e atualização de alguns serviços e sites.

Enquanto a queda de braço entre o Congresso e o Presidente dos EUA não tiver fim, a votação para o orçamento do ano de 2019 deve continuar neste impasse, gerando a paralisação de serviços, falta de pagamento de servidores, com vários deles em trabalho sem remuneração, ou em licença, entre outras dores de cabeça.

Entre os sites afetados, encontram-se as páginas do NIST (National Institute of Standards and Technology), além de outras mantidas pelo mesmo instituto, e que também são suportadas pelo Departamento de Comércio dos EUA, como, por exemplo, a do Computer Security Resource Center.

O NIST é um dos laboratórios de ciência física mais antigos dos EUA, em atividade desde o ano de 1901, e lidando com pesquisas que influenciam em diversos produtos, direta ou indiretamente, por tecnologias ou padrões desenvolvidos pelo instituto.

NIST

Fonte: https://www.nist.gov/

O Instituto Nacional de Padrões e Tecnologia (NIST) é famoso pelo desenvolvimento de seus frameworks ligados a segurança da informação, como o NIST Cybersecurity Framework, ou o NIST Risk Management Framework, cuja versão 2.0 foi coincidentemente lançada no mesmo dia em que os recursos se esgotaram, segundo informou o site eWeek.

O NIST RMF provê às agências governamentais, e empresas comerciais, novas orientações que alinhem os controles de riscos, privacidade e segurança cibernética.

Outras páginas, como a que hospeda a National Vulnerability Database, bastante conhecida e consultada por informar vulnerabilidades em aplicações, serão mantidas em funcionamento e atualização, mesmo constando entre os domínios dos quais o NIST é responsável, por se tratar de exceção à restrição de fundos imposta para o novo ano.

Outro site importante, também afetado pela redução de recursos, é o próprio site do Department of Homeland Security, trazendo a mesma informação junto a sua página principal.

DHS

Fonte: https://www.dhs.gov/

Até o fim do conflito envolvendo o congresso americano, e a consequente votação do orçamento americano para o próximo ano, a evolução de frentes importantes ligadas a segurança da informação também serão afetadas, pois os padrões desenvolvidos pelo NIST são relevantes não só para os EUA, sendo também referência mundial.

Para mais detalhes, acessem o site do Departamento de Comércio Americano.

Anúncios

Sky Brasil teve dados de clientes expostos

HTML code

Segundo o pesquisador independente em cibersegurança Fábio Castro, os dados de 32 milhões de clientes da Sky Brasil estiveram expostos online por tempo suficiente para serem acessados indevidamente. Quando da divulgação da descoberta, as informações de identificação pessoal dos usuários estavam disponíveis em servidores executando Elasticsearch, que disponibilizavam estes dados sem a necessidade de autenticação.

Um cluster de nome “digital-logs-prd” atraiu a atenção do pesquisador que, com um simples comando, listou os índices disponíveis, onde em um destes contava com um tamanho de 429 GB. As informações incluíam nome completo, endereço, e-mail, senha de acesso aos serviços da empresa, endereço IP dos clientes, métodos de pagamento, números de telefone, entre outras.

Ao reportar sua descoberta para a companhia, esta providenciou a proteção de acesso aos dados com uma senha, o que levou apenas alguns minutos para ser implementado. Porém, como a exposição havia perdurado por um longo período, a proteção pode ter chegado tarde para evitar que os dados tenham sido coletados.

Entre os clientes com dados expostos, incluindo os do próprio pesquisador, estavam também as informações a respeito de políticos brasileiros renomados, como governadores e funcionários do governo.

Embora a proteção de dados pessoais contra violações de privacidade seja um senso comum na segurança da informação, a configuração inapropriada de servidores com Elasticsearch é algo comum mesmo para organizações de grande porte. O pesquisador chegou a estes servidores utilizando as funções avançadas da ferramenta de busca Shodan.io.

A reportagem original, em inglês, pode ser vista no site Bleeping Computer.

Marriot internacional divulga violação de dados.

Segurança na web

A Marriot Intenational divulgou violação recente de dados que compromete a privacidade de até 500 milhões de seus clientes ao redor do mundo. De acordo com a notícia divulgada pelo Washington Post, criminosos digitais tiveram acesso aos sistemas de reservas de diversas das cadeias de hotéis pertencentes à corporação durante os últimos quatro anos. As informações expostas incluem dados como para onde estes clientes viajaram, quando e com quem.

Entre as redes de hotéis comprometidas encontramos nomes como o St. Regis, Westin, Sheraton, Aloft, Le Meridien, Four Points e W Hotels. Estes hotéis fazem parte das propriedades Starwood, que foram adquiridas pela Marriot em 2014, porém as bases de dados de ambas se mantiveram separadas até recentemente, o que permitiu que as bases originais da Marriot não fossem afetadas pela violação.

O incidente foi descoberto internamente pela sinalização de uma ferramenta de segurança não divulgada, evidenciando o acesso a dados por terceiros em 8 de setembro. A companhia então verificou que os criminosos haviam acessado estas bases de dados, os criptografado, e tentado removê-los. Demorou até o final de novembro para que a empresa conseguisse descriptografar as informações.

Segundo o release para a imprensa, os dados de cartões de crédito estavam protegidos por criptografia, porém o porta voz da Marriot não confirmou se a mesma proteção estava aplicada a outros tipos de informações de identificação pessoal, como nomes, endereços, números de telefone, e-mails, ou números de passaporte. A companhia, entretanto, admite não poder assegurar que as chaves criptográficas permaneceram seguras.

“A prevenção de violações de segurança em massa não é apenas uma questão de proteção de privacidade, mas também de proteção de recursos. Violações como essa podem levar a roubos de identidade e fraudes financeiras”, comentou o Senador do Estado de Massachusetts Edward J. Markey.

Enquanto as investigações prosseguem, o impacto financeiro a longo prazo para a Marriot segue incerto. A corporação criou um site e um call center dedicados a fornecer mais informações aos clientes, além de declarar que enviará e-mails aos clientes afetados.

A reportagem original, em inglês, pode ser acessada no site do Washington Post.