PacificNews#208: The Flight of Icarus
Aplicativo de relacionamento para mulheres tem falha grave reportada por usuários
Um novo aplicativo de relacionamentos, criado inteiramente no Brasil, foi lançado essa semana com a premissa de ser um lugar somente para mulheres. Para garantir esta premissa, o aplicativo exigia que, aquelas que pleiteassem se cadastrar, deveriam apresentar fotos segurando seus documentos pessoais, que seriam armazenados no banco de dados da aplicação. Apesar de suspeitas de usuários, muitos cadastros ocorreram.
Vamos, primeiro, entender melhor a escolha por utilizar documentos pessoais no Sapphos. De acordo com a descrição no site oficial, o aplicativo foi pensado para ser um espaço “seguro, acolhedor e respeitoso para todas as pessoas que buscam conexões afetivas”. Por isso, a equipe da Sapphos fazia uma revisão manual em todas as fotos: ou seja, não havia automação. A razão para essa abordagem é evitar falsos-negativos, como, por exemplo, uma possível rejeição de mulheres não-femininas no aplicativo por um algoritmo, que poderiam ser falsamente rejeitadas.
O problema? Nesta segunda-feira, dia 08 de setembro, houve um suposto vazamento de dados que teria exposto as informações pessoais e identificáveis de todos os usuários cadastrados. Alguns usuários do X, antigo Twitter, relataram uma vulnerabilidade de IDOR (Insecure Direct Object Reference) em uma API da aplicação que, com apenas uma requisição GET, era capaz de retornar informações pessoais de todos os usuários, como nomes, data de nascimento, CPF, endereços de email e até as fotos usadas no cadastro, independente do solicitante ter ou não permissão de acessar estas informações.
Quando o questionamento aconteceu na rede social, no entanto, a equipe do Sapphos se posicionou de forma a condenar a ação de divulgação desta vulnerabilidade, dizendo se tratar de um “ataque realizado por homens mal-intencionados”, complementando, inclusive, que estão investigando o caso – além de isolar o ambiente afetado.
A empresa comunicou que não tem registro de dados vazados, mas, tão somente, logs que comprovam que houve um acesso indevido. Além disso, afirmaram que os dados bancários não são armazenados em sua base de dados, mas que ocorrem diretamente nas lojas de aplicativos, como Apple Store e Google Play Store.
Até o momento, o aplicativo do Sapphos encontra-se fora do ar e seu website em status de “em manutenção”.
Vazamento mostra como uma empresa chinesa está exportando firewall para o mundo
Um vazamento massivo de mais de 100.000 documentos internos revelou como uma empresa chinesa até então desconhecida, a Geedge Networks, tem discretamente vendido sofisticados sistemas de censura a governos ao redor do mundo. A tecnologia, aparentemente modelada no conhecido "Grande Firewall" da China, é comercializada como uma ferramenta de "segurança cibernética", mas na prática oferece um poderoso arsenal para vigilância e controle da informação.
A Geedge Networks, que conta com o "pai" da infraestrutura de censura chinesa entre seus investidores, se apresenta oficialmente como uma provedora de monitoramento de redes, prometendo "visibilidade abrangente e minimização de riscos de segurança". No entanto, os arquivos vazados contam uma história muito mais sombria.
Analisados por um consórcio de organizações de direitos humanos e veículos de mídia de renome, incluindo Anistia Internacional, The Globe and Mail e o Projeto Tor , os documentos mostram que a empresa opera um sistema que permite a seus clientes monitorar o tráfego online, bloquear websites, neutralizar ferramentas de VPN e até mesmo espionar indivíduos específicos.
O que a Geedge oferece é, essencialmente, uma versão comercial do Grande Firewall: uma solução completa, com hardware e software, que pode ser instalada em qualquer data center de telecomunicações e operada por autoridades locais. Os documentos revelam ainda planos para o desenvolvimento de funcionalidades futuras ainda mais alarmantes, como a oferta de ataques cibernéticos sob demanda e a capacidade de restringir geograficamente o acesso de determinados usuários.
A investigação aponta que a Geedge já implementou suas operações no Cazaquistão, Etiópia, Paquistão, Mianmar e em pelo menos um outro país não identificado. Além disso, anúncios de emprego indicam que a empresa busca engenheiros dispostos a viajar para instalar seus sistemas em diversas outras nações, sugerindo uma expansão global em andamento.
Os arquivos vazados incluem documentação técnica, registros de operação e comunicações internas que detalham o funcionamento do sistema. "Isso vai muito além da interceptação legal que vemos em democracias ocidentais", alerta Marla Rivera, pesquisadora do InterSecLab, uma instituição global de pesquisa forense digital. Ela explica que, além da censura em massa, o sistema da Geedge permite que governos persigam cidadãos com base em suas atividades online, como a simples visita a um determinado site.
Patches & Updates
Signal:
O aplicativo de comunicação instantânea, Signal, adicionou uma funcionalidade que ajuda usuários a criarem backups criptografados de ponta a ponta de suas conversas, permitindo que todas as mensagens sejam recuperadas mesmo se o celular for danificado ou perdido. A funcionalidade vem em duas modalidades: gratuita, contemplando o histórico de mensagens de 45 dias, ou na forma de uma assinatura de 1.99 dólares ao mês, permitindo backup anterior a este período. Ao habilitar o backup seguro, o Signal gera uma chave de recuperação de 64 caracteres nos dispositivos, que somente estará disponível ao usuário e é utilizada para descriptografar o backup. Esta chave é a única forma de recuperar as mensagens e, se perdida, o backup também ficará trancado “para sempre”.
Salesloft:
A empresa confirmou ter sido o ponto de partida para uma série de ataques contra grandes nomes da tecnologia, incluindo Google, Cloudflare, Zscaler e Palo Alto Networks. A companhia admitiu que invasores comprometeram sua conta no GitHub em março, um incidente que permitiu o roubo de tokens de autenticação (OAuth) do Drift. Meses depois, em agosto, esses mesmos tokens foram utilizados para acessar e roubar dados das instâncias do Salesforce de uma lista crescente de clientes de alto perfil. O alvo principal dos invasores nos ataques subsequentes era claro: eles se concentraram em roubar casos de suporte registrados no Salesforce. A partir desses tickets, os criminosos conseguiram coletar informações sensíveis, como credenciais de login, outros tokens de autenticação e segredos corporativos que os clientes haviam compartilhado ao solicitar ajuda.
Microsoft:
A big tech lançou patches para dezenas de falhas no Windows e outros produtos, incluindo aquelas com classificação de "maior probabilidade de exploração", tais como problemas de divulgação de informações e escalonamento de privilégios no kernel do Windows, uma vulnerabilidade de execução remota de código no Windows NTFS e bugs de escalonamento de privilégios no driver TCP/IP do Windows, Windows Hyper-V, Windows NTLM e Windows SMB. As atualizações do Patch Tuesday de setembro de 2025 da Microsoft resolvem um total de 86 vulnerabilidades.
Destaques pelo mundo
Plex:
A plataforma de streaming de media, Plex, está alertando seus usuários para resetarem suas senhas após um vazamento de dados sofrido pela empresa. De acordo com o comunicado, um terceiro não-autorizado conseguiu um “acesso limitado” a dados de clientes no banco de dados da Plex, incluindo nomes de usuário, emails e hashes criptografadas de senhas. Apesar do algoritmo de criptografia não ser divulgado publicamente, é possível que atacantes tentem descriptografá-las, portanto, a empresa recomenda que todos os usuários façam a rotação de suas senhas, além de garantir que os dispositivos conectados sejam desvinculados no momento da troca.
NPM:
O gerenciador de pacotes para o Node.JS, npm, sofreu uma injeção de malware em pacotes legítimos que, somados, possuem mais de 2.6 bilhões de downloads semanais. A ação aconteceu após agentes maliciosos comprometerem a conta do mantenedor do projeto, Josh Junon, através de um ataque de phishing. Quem revelou o ataque à cadeia de suprimentos foi Charlie Eriksen, da empresa Aikido Security, alertando que as injeções ao código continham crypto stealers, que possibilitam o roubo de criptoativos. Apesar de ser um ataque de uma magnitude muito elevada, seu impacto foi bem menor do que tudo indica, com algo em torno de 20 dólares em criptoativos desviados por esse método, uma vez que os repositórios maliciosos ficaram no ar por pouco mais de 01 hora, somente. Detalhes sobre como validar se você foi impactado podem ser conferidos no blog da Security Alliance.
Mitsubishi:
Em um movimento estratégico para expandir sua atuação em cibersegurança industrial, a gigante japonesa Mitsubishi Electric anunciou a assinatura de um acordo para adquirir a Nozomi Networks, especialista em segurança para ambientes de Tecnologia Operacional (TO) e Internet das Coisas (IoT). O negócio avalia a Nozomi em quase US$1 bilhão. Após a conclusão da transação, prevista para o quarto trimestre de 2025, a Nozomi Networks se tornará uma subsidiária integral da Mitsubishi Electric, mas continuará a operar de forma independente, mantendo sua agilidade e foco no mercado. A plataforma da Nozomi é projetada para oferecer às organizações visibilidade e controle total sobre seus sistemas críticos, fornecendo funcionalidades essenciais como descoberta de ativos, monitoramento contínuo, detecção de anomalias e gerenciamento de vulnerabilidades.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
