PASTEBIN – Certisign Pwned by sup3rm4n – fatal error crew

PASTEBIN – Certisign Pwned by sup3rm4n – fatal error crew. Divulgado hoje, 09/01/2019 no Pastebin, dados vazados da certificadora digital Certisign .

A ICP Brasil é a infraestrutura chaves publicas e privadas e de acreditação nacional na emissão para a emissão de certificados digitais instituída por decreto do então Presidente Fernando Henrique Cardoso no ano de 2001, a época foi utilizada como pedra fundamental e legal para a implantação do SPB – Sistema de Pagamentos Brasileiro que interliga todos os bancos e Banco Central para as operações online, e hoje é base de legal para todos os processos que requeiram assinatura e sigilo digital de documentos, transações e tráfego na internet.

A Certisign é uma das principais AC – Autoridades Certificadora da ICP Brasil.

Segundo o seu próprio site a Certisign afirma que “é a Autoridade Certificadora líder da América Latina e especialista em Identificação Digital. Com mais de 1.800 Locais de Atendimento por todo o Brasil, ao longo dos seus 21 anos, já emitiu mais de 10 milhões de Certificados Digitais, possui em seu portfólio de clientes as companhias mais representativas do País e está entre as empresas mais inovadoras do Brasil, de acordo com as pesquisas “Inovação Brasil 2016”, da Strategy & Consultoria Estratégica do Network PwC-, e “50 Empresas Mais Inovadoras do País”, da DOM StrategyPartners. “

No vazamento de hoje o grupo hacker que vazou os dados afirma que :

“ICP na teoria é boa pra krl, mas na prática não tem como confiar nas ACs , pelo menos não nas brasileiras pois deixam muito a desejar no quesito segurança. Porém não deixem de usar certificados digitais, melhor pouca segurança do que nenhuma kkkk “

E na sequência divulgam dados obtidos da AC Certisign e chamam a tenção para os logs do history onde os adms deixam as senhas salvas .

Conclusão

Não sabemos a extensão deste vazamento e como ele foi realizado, mas novamente vemos empresas de grande importancia, seja por seu porte ou pelo serviço prestado sendo hackeadas e expondo dados sensíveis a seus atacantes e ao mundo.

É cada vez mais correta a máxima que costumamos usar “a pergunta correta não é se você foi hackeado ou não, mas sim QUANDO você será hackeado”.

Embora tenhamos legislações nacionais e internacionais, como a LGPD e GDPR respectivamente, as empresas continuam tendo problemas e sérias dificuldade de manter os invasores fora de seus sistemas, e aqui não me refiro a fora de seus perímetros porque na realidade, com o advento da computação em nuvem, o conceito de perímetro deixou de existir ou ao menos é quase impossível em delimitá-lo.

Esperamos que em vista das crescentes invasões e vazamentos as empresas coloquem definitivamente a Segurança da Informação em seu board executivo, com prioridade e orçamento bem definidos, priorizando o recursos, treinamento e capacitação de suas equipes, pois os hackers , em sua maioria, são bem organizados e competentes, parecendo não terem problemas orçamentários ou competência técnica para lograr seus objetivos.

Outro ponto que deixo aqui uma reflexão é sobre profissionais mais experientes e acima de 40 anos. Por ter 30 anos na área e estar acima dos 40 anos, me enquadro no grupo citado, assim me permitam afirmar que as empresas valorizam sobremaneira os chamados “high potencial”, jovens, inteligentes, “potenciais” jóias da área e baratos , que certamente possuem um valor inestimável para a empresa, mas ainda não possuem a experiência e visão ampla de negócio e mercado para antecipar um bom planejamento e administração de área conforme se requer nos dias de hoje.

Claro que temos exceções à afirmativa acima, mas enquanto em outros países a experiência é valorizada, aqui no Brasil ainda temos este tabu onde os mais velhos são visto como caros e lentos, e que tudo pode ser resolvido de forma mais barata.

Por: Kleber Melo - Sócio Diretor & Consultor da MindSec Segurança e Tecnologia da Informação.

Veja também:

• Por que você deve ocultar seu endereço IP?
• POSICIONAMENTO da TIVIT sobre novo vazamento de dados
• Novo Vazamento de Dados na TIVIT
• Censura Chinesa treina jovens a buscar conteúdo proibido online
• +2,4 milhões de dados de usuários do gerenciador de senhas do Blur foram expostos on-line
• A arquitetura de proteção de Endpoint da CrowdStrike
• Pesquisador divulga exploração de vulnerabilidade Zero Day no Twitter
• O Facebook rastreia usuários do Android, mesmo que não sejam usuários do Facebook
• Governo cria a Autoridade Nacional de Proteção de Dados e prorroga lei para Ago/2020
• Google+ expõe dados de 52 milhões de usuários
• Malware para Mac aparece na lista dos TOP 10
• Cryptojacking: O que é ? como se proteger ?