.

Infosec em resumo Bem-vindo a 2025: espero que você tenha desfrutado de uma agradável temporada de férias e retornado ao centro de operações de segurança sem incidentes – ao contrário da Volkswagen, que na semana passada admitiu ter exposto dados que descrevem as viagens feitas por alguns de seus veículos elétricos, além de informações sobre os proprietários dos veículos.

Estamos tão chocados quanto você porque uma grande empresa deixou dados expostos online, mas aqui estamos novamente. Desta vez, o problema começou na Cariad, subsidiária da VW, segundo o outlet alemão Der Spiegel. A empresa de propriedade integral da VW, encarregada de desenvolver uma plataforma de software para veículos elétricos do Grupo VW, expôs dados internos de aplicativos por meio de subpáginas da web mal protegidas. Essas subpáginas poderiam ser descobertas sistematicamente, revelando o endereço de um arquivo de despejo de memória de um aplicativo interno do Cariad. Um denunciante acessou o arquivo exposto e compartilhou sua descoberta com a Der Spiegel e o Chaos Computer Club.

Um continha credenciais de acesso a um servidor de armazenamento em nuvem AWS que – surpresa, surpresa – incluía dados de telemetria de cerca de 800.000 veículos elétricos VW, Seat, Audi e Skoda localizados na Europa e em outras partes do mundo.

Entre os dados obtidos do servidor AWS estavam o nível da bateria, o status da inspeção, se os carros estavam ligados ou desligados e até dados de geolocalização. Cerca de metade dos veículos no conjunto de dados tinham dados tão precisos que rastreavam os veículos elétricos com uma precisão de dez centímetros, permitindo que um potencial malfeitor roubasse informações detalhadas sobre as viagens que os veículos faziam.

Para piorar a situação, foram encontrados dados adicionais de acesso a um serviço específico da VW que permitia vincular a telemetria dos veículos aos nomes e contactos de motoristas, proprietários ou gestores de frota.

O Chaos Computer Club disse que o assunto foi prontamente resolvido quando informou a Cariad, e os dados não estão mais acessíveis. Os clientes não precisam realizar nenhuma ação e não está claro se algum dos dados foi exposto por outra pessoa que não os pesquisadores.

Independentemente disso, é apenas mais um exemplo de uma empresa que não protege adequadamente os seus recursos na nuvem e cria dores de cabeça de privacidade para os consumidores – bem-vindo ao futuro.

CEO da Tenable falece

O fornecedor de ferramentas de visibilidade de segurança Tenable anunciou no sábado o falecimento repentino de seu CEO e presidente Amit Yoran, de apenas 54 anos

Yoran tirou licença médica a partir de 5 de dezembro de 2024, supostamente para procurar tratamento para câncer.

“Amit foi um líder, colega e amigo extraordinário”, disse Art Coviello, principal diretor independente da Tenable. “Sua paixão pela segurança cibernética, sua visão estratégica e sua capacidade de inspirar as pessoas ao seu redor moldaram a cultura e a missão da Tenable. Seu legado continuará a nos guiar à medida que avançamos.”

A Tenable é uma empresa listada, portanto, o anúncio do falecimento de Yoran inclui conselhos de que a empresa espera que as metas de receita sejam atingidas e que os co-CEOs Steve Vintz e Mark Thurmond continuarão a atuar enquanto a empresa busca um novo líder.

-Simon Sharwood

Vulnerabilidades críticas da semana: Um Palo Alto DoS para o ano novo

Dado que mal saímos da calmaria do feriado, ainda está um pouco quieto – exceto por uma vulnerabilidade CVSS 8.7 relatada no software PAN-OS da Palo Alto Networks.

A loja de segurança identificou CVE-2024-3393, uma falha de negação de serviço no recurso de segurança DNS que permite que invasores não autenticados enviem pacotes maliciosos através do plano de dados do firewall, fazendo com que o dispositivo seja reinicializado. A exploração repetida pode forçar o firewall a entrar no modo de manutenção. A CISA disse que já detectou o problema sendo abusado na natureza, então comece a corrigir! Principalmente porque Palo Alto revelou este no dia 27 de dezembro, data em que poucos administradores estarão prestando atenção.

Do Kwon extraditado para os EUA por supostos crimes criptogr&aacut

4 views Jul 3, 2025
Reino Unido propõe proibição de pagamento de ransomware para o setor público • st As câmeras Wyze usarão IA para descrever o que veem