Tecnologia e Classe de 04/07/24
Polyfill.io comprometido
https://polykill.io/chrome-extension
Polyfill JS, adquirida por uma empresa chinesa em fevereiro, infecta mais de 100 mil sites com malware: o código malicioso é ativado apenas em dispositivos móveis e redireciona usuários para páginas falsas de apostas. Recomenda-se que a biblioteca seja removida imediatamente dos projetos. Os domínios CDN do Polyfill foram derrubados pela Namecheap, sua principal registradora. As informações são do site da Sansec.
https://sansec.io/research/polyfill-supply-chain-attack
kkkkkkkk
Notícias rápidas
Mt. Gox, corretora de bitcoins que declarou falência em 2014, irá reembolsar seus credores a partir deste mês: cerca de 9 bilhões de dólares em moedas digitais serão devolvidos, com um pagamento inicial de 21% do valor investido, podendo chegar a 23,6%. Os ativos retidos na plataforma valorizaram mais de 10.000% ao longo dos anos. As informações são dos sites CNBC e InvestNews.
Provedora sul-coreana de internet é acusada de distribuir malware para 600 mil clientes por meio de torrents: investigações apontam que a KT desejava restringir serviços de compartilhamento de arquivos que utilizam BitTorrent, por consumirem muita largura de banda. Usuários afetados relatavam erros e downloads lentos. As informações são do site TorrentFreak.
Figma desabilita temporariamente sua ferramenta de IA por supostamente plagiar aplicativo Weather da Apple: a empresa é acusada de treinar o Make Design utilizando projetos reais. Dylan Field, CEO da empresa, nega as afirmações, mas reconhece falhas no processo de garantia de qualidade e baixa variabilidade da tecnologia. As informações são do site TechCrunch.
Instituto de Defesa dos Consumidores deseja suspender coleta de dados da Meta, utilizados para treinar modelos de linguagem: a medida obrigaria a empresa a interromper o uso de informações de brasileiros e informá-los a respeito da decisão, até que esteja de acordo com a Lei Geral de Proteção de Dados. As informações são do site Convergência Digital.
Deepfakes poderão causar prejuízo de 40 bilhões de dólares para organizações até 2027: serviços bancários e financeiros estão entre os alvos principais. A projeção é que esses incidentes aumentem entre 50% e 60% neste ano, com 140-150 mil casos previstos. Estima-se que 30% das empresas estejam despreparadas para identificar e se defender contra ataques desse tipo. As informações são do site VentureBeat.
Opiniões sensatas e dentro do tom
Segurança
Plugins utilizados em mais de 30 mil sites do WordPress são infectados com backdoor: os códigos-fontes foram alterados incluindo scripts PHP que injetam spam de SEO e criam contas com privilégios administrativos, com os nomes "Options" e "PluginAuth". Alguns plugins afetados já receberam correções de segurança e usuários devem atualizá-los imediatamente. A lista dos plugins afetados está disponível no TabNews.
- Social Warfare 4.4.6.4 to 4.4.7.1 (corrigido na versão 4.4.7.3);
- Blaze Widget 2.2.5 to 2.5.2 (corrigido na versão 2.5.4);
- Wrapper Link Element 1.0.2 to 1.0.3 (corrigido na versão 1.0.5);
- Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (corrigido na versão 1.0.7);
- Simply Show Hooks 1.2.1 to 1.2.2 (não foi corrigido ainda).
Falha crítica no OpenSSH pode afetar cerca de 700 mil sistemas Linux: a vulnerabilidade “regreSSHion”, rastreada como CVE-2024-6387, é uma regressão da CVE-2006-5051 relatada em 2006, permitindo que invasores não autenticados executem códigos remotos em servidores SSH. A correção está disponível a partir da versão 9.8p1. Recomenda-se atualizar a ferramenta. As informações são do site The Register.
https://www.theregister.com/2024/07/01/regresshion_openssh/
Authy, plataforma de autenticação de dois fatores, sofre ataque hacker que expõe 33 milhões de números de telefone: invasores exploraram um endpoint de API desprotegido que retorna informações sobre contas de usuários. Um autor identificado como “ShinyHunters” publicou um arquivo CSV contendo dados vazados, que também incluem ID, status e contagem de dispositivos. Uma atualização de segurança foi lançada para Android (v25.1.0) e iOS (v26.1.0). Recomenda-se atualizar o aplicativo imediatamente. As informações são do site Bleeping Computer.