Quando os pesquisadores de segurança se apresentam como criminosos cibernéticos, quem sabe a diferença – ciso daily news o preço do bitcoin

Um número ridículo de empresas está expondo alguns ou todos os seus dados proprietários e de clientes colocando-os na nuvem sem qualquer tipo de autenticação necessária para ler, alterar ou destruir. Quando os cibercriminosos são os primeiros a descobrir esses erros, geralmente o resultado é uma demanda por dinheiro em troca dos dados roubados. Mas quando essas falhas são desenterradas por profissionais de segurança que tentam fazer um nome para si mesmas, a publicidade resultante muitas vezes pode deixar a organização violada desejando que ela tenha sido silenciosamente extorquida por criminosos anônimos.

Na semana passada, eu estava em um trem de Nova York para Washington, D.C., quando recebi um telefonema de Vinny Troia, uma pesquisadora de segurança que administra uma startup no Missouri chamada NightLion Security.


Troia havia descoberto que a All American Entertainment, uma agência de palestrantes que representa várias celebridades que também podem ser contratadas para falar em público, expôs milhares de contratos de palestras por meio de uma instância de nuvem da Amazon desprotegida.

Não foi a primeira vez que Troia me alertou sobre uma enorme quantidade de dados importantes ou sensíveis que as empresas deixaram expostos on-line. Na segunda-feira, o TechCrunch divulgou a história sobre uma “violação” na Apollo, uma startup de engajamento de vendas com um banco de dados de mais de 200 milhões de registros de contato. Chamar isso de violação parece um pouco difícil; provavelmente seria mais preciso descrever o incidente como vazamento de dados.

Assim como meu departamento de palestrantes, a Apollo simplesmente colocou todos esses dados em um servidor da Amazon que qualquer pessoa na Internet poderia acessar sem fornecer uma senha. E Troia foi novamente aquele que descobriu que os dados haviam sido vazados pela Apollo – o resultado de um processo intensivo de meses que levou algumas reviravoltas extremamente interessantes.

bitcointalk zcash

Essa jornada – que eu me esforçarei para descrever aqui – ofereceu alguns insights desconfortáveis ​​sobre como as organizações freqüentemente aprendem sobre vazamentos de dados nos dias de hoje e, de fato, se derivam alguma lição de segurança duradoura da experiência. Isso também me deu uma nova apreciação de quão difícil pode ser para organizações que estragam esse caminho para diferenciar entre um pesquisador de segurança e um cara mau. O OVERLORD ESCURO

Comecei a ouvir de Troia quase diariamente a partir de meados de 2017. Na época, ele estava em uma missão pessoal para descobrir a identidade da vida real por trás do The Dark Overlord (TDO), o pseudônimo usado por um indivíduo ou um grupo de criminosos que vem extorquindo dezenas de empresas – especialmente de saúde – depois de invadir seus sistemas e roubar dados sensíveis.

Arnie alegou que ele era um administrador ou membro-chave em vários dos principais fóruns da Dark Web e forneceu algumas pistas convincentes para respaldar sua reivindicação. Ele me disse que tinha acesso em tempo real a dezenas de organizações de saúde que havia invadido, e que cada uma delas que se recusasse a ceder às demandas de extorsão da TDO poderia se transformar em uma grande vantagem para o KrebsOnSecurity.

melhor carteira de hardware bitcoin

Talvez outros veículos de notícias estejam acostumados a pagar por scoops, mas isso não é algo que eu jamais consideraria. E, de qualquer forma, a coisa toda começava a cheirar a um golpe ou a uma fraude. Eu recusei a oferta. É possível que outros meios de notícias ou jornalistas não o façam; Não vou especular mais sobre esse assunto, além de dizer que os leitores podem tirar suas próprias conclusões com base no cronograma e no registro público. QUEM É SOUNDCARD?

Aqui está uma captura de tela que Troia compartilhou comigo da postagem do Soundcard, que dizia respeito a um tópico de discussão do fórum de julho de 2018 sobre um vazamento de dados de 340 milhões de registros da empresa de marketing Exactis, com sede na Flórida. Conforme detalhado pela Wired.com em junho de 2018, Troia havia descoberto esse enorme cache de dados desprotegidos e totalmente aberto em um servidor de nuvem e, finalmente, rastreou-o de volta à Exactis.

dólar para bitcoin conversão

À primeira vista, parecia ser dados de perfil do LinkedIn. Trabalhando com essa suposição, comecei uma busca difícil pelo banco de dados para perfis específicos do LinkedIn de pessoas importantes. Utilizei pela primeira vez a Web para localizar as páginas públicas de perfil do LinkedIn para quase todos os CEOs das 20 maiores empresas do mundo e, em seguida, pesquisei esses nomes de perfis no banco de dados que Troia havia descoberto.

LinkedIn segurança A equipe me disse que os dados que eu estava vendo eram, na verdade, uma fusão de informações coletadas do LinkedIn e de dezenas de fontes públicas, e sendo vendidas pela mesma empresa que fazia a coleta e a coleta de perfis. O LinkedIn se recusou a nomear essa empresa e ainda não respondeu às perguntas de acompanhamento sobre se a empresa a que estava se referindo era a Apollo.

Vários dias depois da minha segunda ligação com a equipe de segurança do LinkedIn – por volta de 15 de agosto – fiquei sabendo de uma venda no fórum do crime de Kickass por alguém vendendo o que eles alegavam ser “toda a base de usuários do LinkedIN”. Blurry, screenshot parcial do que pode ser visto abaixo, foi postado pela placa de som do usuário Kickass. O texto do encadeamento de vendas foi o seguinte:

Logo eu confrontei Troia não apenas por oferecer a venda de dados vazados na Dark Web, mas também por, mais uma vez, jogar meu nome em suas várias atividades – apesar das garantias passadas de que ele não o faria. Além disso, suas ações me colocaram em um canto: quaisquer planos que eu tivesse para lhe dar crédito em uma história para eventualmente ajudar a determinar a fonte dos dados vazados (que agora sabemos ser Apollo) se tornaram mais complicados sem explicar sua Dark Web. alter ego como placa de som, e não tenho o hábito de omitir detalhes tão importantes das histórias.

consulta de endereço de carteira de bitcoin

“Queremos que nossos membros saibam que uma reivindicação recente de um LinkedIn violação de dados não é preciso ”, escreveu a empresa. “Nossa investigação sobre essa alegação descobriu que uma empresa de inteligência de vendas terceirizada que não está associada ao LinkedIn estava comprometida e expôs um grande conjunto de dados agregados de várias redes sociais, sites e clientes da própria empresa. Ele também incluiu um conjunto limitado de dados disponíveis publicamente sobre os membros do LinkedIn, como URL do perfil, setor e número de conexões. Isso não foi uma violação do LinkedIn. ”

É uma linha muito boa andar quando pesquisadores de segurança com estilo próprio imitam criminosos virtuais em nome de tornar as coisas mais seguras. Por um lado, procurando empresas que inadvertidamente estão expondo dados sensíveis e obtê-los para protegê-lo ou colocá-lo offline é um esforço que vale a pena e muitas vezes ingrato, e claramente muitas organizações ainda precisam de muita ajuda nesse sentido.

Como resultado, as organizações de vítimas tendem a reagir com profunda desconfiança ou mesmo hostilidade a pesquisadores e jornalistas de segurança que os alertam sobre violação de dados ou vazamento. E acrobacias como as descritas acima tendem a ter o efeito de aprofundar essa suspeita e semear medo, incerteza e dúvida sobre o segurança indústria como um todo.